山河ddos防火墙_防火墙 ddos

       现在,请允许我来为大家解答一些关于山河ddos防火墙的问题,希望我的回答能够给大家带来一些启示。关于山河ddos防火墙的讨论,我们开始吧。

1.ɽ??ddos????ǽ

2.请给我推荐一个防DDOS攻击防火墙

3.安全组防火墙安全组防ddos

4.用防火墙可以防御DDoS攻击吗?

5.防火墙防ddos吗抗DDoS与防火墙

6.linux防火墙如何防御DDOS攻击?

山河ddos防火墙_防火墙 ddos

ɽ??ddos????ǽ

       DDOS的主要几个攻击

       SYN变种攻击

       发送伪造源IP的SYN数据包但是数据包不是64字节而是上千字节这种攻击会造成一些防火墙处理错误锁死,消耗服务器CPU内存的同时还会堵塞带宽。

       TCP混乱数据包攻击

       发送伪造源IP的 TCP数据包,TCP头的TCP Flags 部分是混乱的可能是syn ,ack ,syn+ack ,syn+rst等等,会造成一些防火墙处理错误锁死,消耗服务器CPU内存的同时还会堵塞带宽。

       针对用UDP协议的攻击

       很多聊天室,视频音频软件,都是通过UDP数据包传输的,攻击者针对分析要攻击的网络软件协议,发送和正常数据一样的数据包,这种攻击非常难防护,一般防护墙通过拦截攻击数据包的特征码防护,但是这样会造成正常的数据包也会被拦截,

       针对WEB Server的多连接攻击

       通过控制大量肉鸡同时连接访问网站,造成网站无法处理瘫痪,这种攻击和正常访问网站是一样的,只是瞬间访问量增加几十倍甚至上百倍,有些防火墙可以通过限制每个连接过来的IP连接数来防护,但是这样会造成正常用户稍微多打开几次网站也会被封,

       针对WEB Server的变种攻击

       通过控制大量肉鸡同时连接访问网站,一点连接建立就不断开,一直发送发送一些特殊的GET访问请求造成网站数据库或者某些页面耗费大量的CPU,这样通过限制每个连接过来的IP连接数就失效了,因为每个肉鸡可能只建立一个或者只建立少量的连接。这种攻击非常难防护,后面给大家介绍防火墙的解决方案

       针对WEB Server的变种攻击

       通过控制大量肉鸡同时连接网站端口,但是不发送GET请求而是乱七八糟的字符,大部分防火墙分析攻击数据包前三个字节是GET字符然后来进行mended.

       # Note: ifup-post will punch the current nameservers through the

       # firewall; such entries will *not* be listed here.

       :input ACCEPT

       :forward ACCEPT

       :output ACCEPT

       -A input -s 0/0 -d 0/0 -i lo -j ACCEPT

       # allow stat命令发现攻击来源

       假如说黑客攻击的是Web 80端口,察看连接80端口的客户端IP和端口,命令如下:

       netstat -an -t tcp | grep ":80" | grep ESTABLISHED | awk '{printf "%s %s\n",$5,$6}' | sort

       输出:

       161.2.8.9:123 FIN_WAIT2

       161.2.8.9:124 FIN_WAIT2

       61.233.85.253:23656 FIN_WAIT2

       ...

       第一栏是客户机IP和端口,第二栏是连接状态

       如果来自同一IP的连接很多(超过50个),而且都是连续端口,就很可能是攻击。

       如果只希望察看建立的连接,用命令:

       netstat -an -t tcp | grep ":80" | grep ESTABLISHED | awk '{printf "%s %s\n",$5,$6}' | sort

       *** 用ipchains阻断攻击来源

       用ipchains阻断攻击来源,有两种方法。一种是加入到/etc/sysconfig/ipchains里,然后重启动ipchains服务。另一种是直接用ipchains命令加。屏蔽之后,可能还需要重新启动被攻击的服务,是已经建立的攻击连接失效

       * 加入/etc/sysconfig/ipchains

       假定要阻止的是218.202.8.151到80的连接,编辑/etc/sysconfig/ipchains文件,在:output ACCEPT

       行下面加入:

       -A input -s 218.202.8.151 -d 0/0 http -y -j REJECT

       保存修改,重新启动ipchains:

       /etc/init.d/ipchains restart

       如果要阻止的是218.202.8的整个网段,加入:

       -A input -s 218.202.8.0/255.255.255.0 -d 0/0 http -y -j REJECT

       * 直接用命令行

       加入/etc/sysconfig/ipchains文件并重起ipchains的方法,比较慢,而且在ipchains重起的瞬间,可能会有部分连接钻进来。最方便的方法是直接用ipchains命令。

       假定要阻止的是218.202.8.151到80的连接,命令:

       ipchains -I input 1 -p tcp -s 218.202.8.151 -d 0/0 http -y -j REJECT

       如果要阻止的是218.202.8的整个网段,命令:

       ipchains -I input 1 -p tcp -s 218.202.8.0/255.255.255.0 -d 0/0 http -y -j REJECT

       其中,-I的意思是插入,input是规则连,1是指加入到第一个。

       您可以编辑一个shell脚本,更方便地做这件事,命令:

       vi blockit

       内容:

       #!/bin/sh

       if [ ! -z "$1" ] ; then

       echo "Blocking: $1"

       ipchains -I input 1 -p tcp -s "$1" -d 0/0 http -y -j REJECT

       else

       echo "which ip to block?"

       fi

       保存,然后:

       chmod 700 blockit

       使用方法:

       ./blockit 218.202.8.151

       ./blockit 218.202.8.0/255.255.255.0

       上述命令行方法所建立的规则,在重起之后会失效,您可以用ipchains-save命令打印规则:

       ipchains-save

       输出:

       :input ACCEPT

       :forward ACCEPT

       :output ACCEPT

       Saving `input'.

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i lo -j ACCEPT

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 110:110 -p 6 -j ACCEPT -y

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 80:80 -p 6 -j ACCEPT -y

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -j ACCEPT -y

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 88:88 -p 6 -j ACCEPT -y

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 89:89 -p 6 -j ACCEPT -y

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 90:90 -p 6 -j ACCEPT -y

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 91:91 -p 6 -j ACCEPT -y

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 8180:8180 -p 6 -j ACCEPT -y

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 443:443 -p 6 -j ACCEPT -y

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 21:21 -p 6 -j ACCEPT -y

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 25:25 -p 6 -j ACCEPT -y

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -j ACCEPT -y

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 53:53 -p 6 -j ACCEPT -y

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 9095:9095 -p 6 -j ACCEPT -y

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 8007:8007 -p 6 -j ACCEPT -y

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 53:53 -p 17 -j ACCEPT

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 0:1023 -p 6 -j REJECT -y

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 2049:2049 -p 6 -j REJECT -y

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 0:1023 -p 17 -j REJECT

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 2049:2049 -p 17 -j REJECT

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 6000:6009 -p 6 -j REJECT -y

       -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 7100:7100 -p 6 -j REJECT -y

       您需要把其中的"Saving `input'."去掉,然后把其他内容保存到/etc/sysconfig/ipchains文件,这样,下次重起之后,建立的规则能够重新生效。

       防火墙防不了DDoS攻击,DDoS只是访问量增加,除非你不让别人访问,当流量超出服务器的网络带宽时,服务器就会拥堵到无法访问,也就是瘫痪。最常见的不过是ping攻击,也是最简单,防御ping攻击很简单,服务器IP禁ping即可,设置禁ping还可以防御其他攻击,有的黑客是否停止攻击的依据就是你的服务器是否ping的通,因为发起DDoS攻击也是需要成本的,需要大量的肉鸡等等,不可能长时间持续对一个目标攻击,除非是针对性的!防御DDoS攻击最根本的办法就是买高防,比如墨者安全高防防御流量1000G,国内DDOS一般最多几十到几百G左右吧。

       好了,今天关于“山河ddos防火墙”的话题就讲到这里了。希望大家能够对“山河ddos防火墙”有更深入的认识,并且从我的回答中得到一些帮助。