LinuxByte » 系统网络安全

用Cryptsetup LUKS 加密目录

xiao H — Fri, 06 Mar 2009 13:31:19 +0000

系统：Centos 5.x

这里是用了Cryptsetup cryptoloop实现的变通版目录加密。

以下操作都已root 用户操作

 dd if=/dev/urandom of=myfile bs=1M count=10
 losetup /dev/loop0 myfile

这是创建一个存储空间，并将其关联到 /dev/loop0

 cryptsetup luksFormat /dev/loop0
#这里会要你YES，然后是密码，注意YES 是全大写的，小写是不行的。
 cryptsetup luksOpen /dev/loop0 myfs
#这里要输入上面的那个密码，为/dev/loop0 创建一个Device-Mapper 文件:/dev/mapper/myfs
mkfs.ext2 /dev/mapper/myfs
#格式化文件系统
mkdir /mnt/crypt
mount /dev/mapper/myfs /mnt/crypt/

完成上面后，/mnt/crypt/ 就是你的加密目录，而目录的位置和用户权限是可以自己控制的，这个可以自己看看mount 的manpage。

文件写入完成后要卸载就做下面步骤：

umount /mnt/crypt/
cryptsetup luksClose /dev/mapper/myfs
losetup -d /dev/loop0

如果要再写入可以就做下面步骤：

losetup /dev/loop0 myfile
cryptsetup luksOpen /dev/loop0 myfs
mount /dev/mapper/myfs /mnt/crypt/

与本文关系暧昧的文字

标签：Cryptsetup, DM-Crypt, LUKS, 加密

Feed enhanced by Better Feed from Ozh

使用chkrootkit工具保护服务器

xiao H — Thu, 17 Jul 2008 17:35:16 +0000

在保护linux 服务器时除了Tripwire 这样强大工具外，还有一个简单又好用的工具–chkrootkit。chkrootkit 顾名思义是监测系统是否被安装了rootkit 的一个安全工具。

安装chkrootkit，你可以自己去 http://www.chkrootkit.org/download/ 下载源码包，然后自己编译，也可以和我一样偷懒用别人做好的二进制包.

centos 下用非官方源安装chkrootkit:
首先添加dag 源for centos（我的系统是centos5.2）

# vi /etc/yum.repos.d/dag.repo
[dag]
name=Dag RPM Repository for Red Hat Enterprise Linux
baseurl=http://apt.sw.be/redhat/el$releasever/en/$basearch/dag
gpgcheck=1
enabled=1

# rpm –import http://dag.wieers.com/rpm/packages/RPM-GPG-KEY.dag.txt

yum 安装chkrootkit
# yum update
# yum install chkrootkit

chkrootkit的应用
chkrootkit 的使用非常简单直接运行 chkrootkit 命令，然后会有如下输出

ROOTDIR is `/’
Checking `amd’… not found
Checking `basename’… not infected
Checking `biff’… not found
Checking `chfn’… not infected
Checking `chsh’… not infected
Checking `cron’… not infected
Checking `crontab’… not infected
Checking `date’… not infected
Checking `du’… not infected
Checking `dirname’… not infected
Checking `echo’… not infected
Checking `egrep’… not infected
Checking `env’… not infected
.
.
.

如果有rootkit会报“INFECTED” 所以可以直接用chkrootkit -n|grep ‘INFECTED’更直接一些。

定时检测并在出问题时给管理员发邮件。
创建如下脚本chkrootkit.sh并放入crontab 定时运行。

# cat chkrootkit.sh
#!/bin/bash
PATH=/usr/bin:/bin

TMPLOG=`mktemp`

# Run the chkrootkit
/usr/bin/chkrootkit > $TMPLOG

# Output the log
cat $TMPLOG | logger -t chkrootkit

# bindshe of SMTPSllHow to do some wrongs
if [ ! -z "$(grep 465 $TMPLOG)" ] && \
[ -z $(/usr/sbin/lsof -i:465|grep bindshell) ]; then
sed -i ‘/465/d’ $TMPLOG
fi

# If the rootkit have been found,mail root
[ ! -z "$(grep INFECTED $TMPLOG)" ] && \
grep INFECTED $TMPLOG | mail -s “chkrootkit report in `hostname`” root

# chmod 700 chkroot.sh
# mv chkrootkit /etc/cron.daily

这样系统会每天运行chkrootkit 检测系统，并在检测到rootkit 时给root 发一封邮件。

把给root 用户的系统邮件转发的管理员的gmail 邮箱

虽然可以登陆到系统去看系统邮件，但显然能用gmail 查看是更方便的选择。
1.安装sendmail 邮件转发要用到sendmail，
# yum sendmail
# /etc/intit.d/sendmail start (sendmail服务)
2.设置转发，编辑/etc/aliases，在文件最后加入
root: youname@gmail.com 然后运行newaliases 命令更新aliases
这样系统就会把给root 的邮件转发的你gmail 邮箱里去了。

本文中严重参考入侵监测系统的构建（ chkrootkit ） 一文，感谢该文作者的工作。

其他大家爱看的文字

标签：chkrootkit

Feed enhanced by Better Feed from Ozh

iptables 基本命令使用举例

xiao H — Mon, 03 Mar 2008 11:13:40 +0000

原文地址：http://www.linuxsky.org/doc/admin/200803/262.html

一、链的基本操作

1、清除所有的规则。

1）清除预设表filter中所有规则链中的规则。

# iptables -F

2）清除预设表filter中使用者自定链中的规则。

#iptables -X

#iptables -Z

2、设置链的默认策略。一般有两种方法。

1）首先允许所有的包，然后再禁止有危险的包通过放火墙。

#iptables -P INPUT ACCEPT

#iptables -P OUTPUT ACCEPT

#iptables -P FORWARD ACCEPT

2）首先禁止所有的包，然后根据需要的服务允许特定的包通过防火墙。

#iptables -P INPUT DROP

#iptables -P OUTPUT DROP

#iptables -P FORWARD DROP

3、列出表/链中的所有规则。默认只列出filter表。

#iptables -L

4、向链中添加规则。下面的语句用于开放网络接口：

#iptables -A INPUT -i lo -j ACCEPT

#iptables -A OUTPUT -o lo -j ACCEPT

#iptables -A INPUT -i eth0 -j ACEPT

#iptables -A OUTPUT -o eth1 -j ACCEPT

#iptables -A FORWARD -i eth1 -j ACCEPT

#iptables -A FORWARD -0 eth1 -j ACCEPT

注意:由于本地进程不会经过FORWARD链，因此回环接口lo只在INPUT和OUTPUT两个链上作用。

5、使用者自定义链。

#iptables -N custom

#iptables -A custom -s 0/0 -d 0/0 -p icmp -j DROP

#iptables -A INPUT -s 0/0 -d 0/0 -j DROP

二、设置基本的规则匹配

1、指定协议匹配。

1）匹配指定协议。

#iptables -A INPUT -p tcp

2）匹配指定协议之外的所有协议。

#iptables -A INPUT -p !tcp

2、指定地址匹配。

1）指定匹配的主机。

#iptables -A INPUT -s 192.168.0.18

2）指定匹配的网络。

#iptables -A INPUT -s 192.168.2.0/24

3）匹配指定主机之外的地址。

#iptables -A FORWARD -s !192.168.0.19

4）匹配指定网络之外的网络。

#iptables -A FORWARD -s ! 192.168.3.0/24

3、指定网络接口匹配。

1）指定单一的网络接口匹配。

#iptables -A INPUT -i eth0

#iptables -A FORWARD -o eth0

2）指定同类型的网络接口匹配。

#iptables -A FORWARD -o ppp+

4、指定端口匹配。

1）指定单一端口匹配。

#iptables -A INPUT -p tcp –sport www

#iptables -A INPUT -p udp –dport 53

2）匹配指定端口之外的端口。

#iptables -A INPUT -p tcp –dport !22

3）匹配端口范围。

#iptables -A INPUT -p tcp –sport 22:80

4）匹配ICMP端口和ICMP类型。

#iptables -A INOUT -p icmp –icimp-type 8

5）指定ip碎片。

每个网络接口都有一个MTU（最大传输单元），这个参数定义了可以通过的数据包的最大尺寸。如果一个数据包大于这个参数值时，系统会将其划分成更小的数据包（称为ip碎片）来传输，而接受方则对这些ip碎片再进行重组以还原整个包。这样会导致一个问题：当系统将大数据包划分成ip碎片传输时，第一个碎片含有完整的包头信息（IP+TCP、UDP和ICMP），但是后续的碎片只有包头的部分信息（如源地址、目的地址）。因此，检查后面的ip碎片的头部（象有TCP、UDP和ICMP一样）是不可能的。假如有这样的一条规则：

#iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 192.168.2.100 –dport 80 -j ACCEPT

并且这时的FORWARD的policy为DROP时，系统只会让第一个ip碎片通过，而余下的碎片因为包头信息不完整而无法通过。可以通过—fragment/-f 选项来指定第二个及以后的ip碎片解决上述问题。

#iptables -A FORWARD -f -s 192.168.1.0/24 -d 192.168.2.100 -j ACCEPT

注意现在有许多进行ip碎片攻击的实例，如DoS攻击，因此允许ip碎片通过是有安全隐患的，对于这一点可以采用iptables的匹配扩展来进行限制。

三、设置扩展的规则匹配（举例已忽略目标动作）

1、多端口匹配。

1）匹配多个源端口。

#iptables -A INPUT -p tcp -m multiport –sport 22,53,80,110

2）匹配多个目的端口。

#iptables -A INPUT -p tcp -m multiport –dpoort 22,53,80

3）匹配多端口(无论是源端口还是目的端口）

#iptables -A INPUT -p tcp -m multiport –port 22,53,80,110

2、指定TCP匹配扩展

使用 –tcp-flags 选项可以根据tcp包的标志位进行过滤。

#iptables -A INPUT -p tcp –tcp-flags SYN,FIN,ACK SYN

#iptables -A FROWARD -p tcp –tcp-flags ALL SYN,ACK

上实例中第一个表示SYN、ACK、FIN的标志都检查，但是只有SYN匹配。第二个表示ALL（SYN，ACK，FIN，RST，URG，PSH）的标志都检查，但是只有设置了SYN和ACK的匹配。

#iptables -A FORWARD -p tcp –syn

选项—syn相当于”–tcp-flags SYN,RST,ACK SYN”的简写。

3、limit速率匹配扩展。

1）指定单位时间内允许通过的数据包个数，单位时间可以是/second、/minute、/hour、/day或使用第一个子母。

#iptables -A INPUT -m limit –limit 300/hour

2 )指定触发事件的阀值。

#iptables -A INPUT -m limit –limit-burst 10

用来比对一次同时涌入的封包是否超过10个，超过此上限的包将直接丢弃。

3）同时指定速率限制和触发阀值。

#iptables -A INPUT -p icmp -m limit –-limit 3/m –limit-burst 3

表示每分钟允许的最大包数量为限制速率（本例为3）加上当前的触发阀值burst数。任何情况下，都可保证3个数据包通过，触发阀值burst相当于允许额外的包数量。

4）基于状态的匹配扩展（连接跟踪）

每个网络连接包括以下信息：源地址、目标地址、源端口、目的端口，称为套接字对（socket pairs）；协议类型、连接状态（TCP协议）

和超时时间等。防火墙把这些信息称为状态（stateful）。状态包过滤防火墙能在内存中维护一个跟踪状态的表，比简单包过滤防火墙具有更大的安全性，命令格式如下：

iptables -m state –-state [!]state [,state,state,state]

其中，state表是一个逗号分割的列表，用来指定连接状态，4种：

>NEW: 该包想要开始一个新的连接（重新连接或连接重定向）

>RELATED:该包是属于某个已经建立的连接所建立的新连接。举例：

FTP的数据传输连接和控制连接之间就是RELATED关系。

>ESTABLISHED：该包属于某个已经建立的连接。

>INVALID:该包不匹配于任何连接，通常这些包被DROP。

例如：

（1）在INPUT链添加一条规则，匹配已经建立的连接或由已经建立的连接所建立的新连接。即匹配所有的TCP回应包。

#iptables -A INPUT -m state –state RELATED,ESTABLISHED

（2）在INPUT链链添加一条规则，匹配所有从非eth0接口来的连接请求包。

#iptables -A INPUT -m state -–state NEW -i !eth0

又如，对于ftp连接可以使用下面的连接跟踪：

（1）被动（Passive）ftp连接模式。

#iptables -A INPUT -p tcp –sport 1024: –dport 1024: -m state –-state ESTABLISHED -j ACCEPT

#iptables -A OUTPUT -p tcp –sport 1024: –dport 1024: -m

state -–state ESTABLISHED,RELATED -j ACCEPT

（2）主动（Active）ftp连接模式

#iptables -A INNPUT -p tcp –sport 20 -m state –-state ESTABLISHED,RELATED -j ACCEPT

#iptables -A OUTPUT -p tcp –OUTPUT -p tcp –dport 20 -m state –state ESTABLISHED -j ACCEPT

5）TOS匹配扩展。

四、设置目标扩展

目标扩展由内核模块组成，而且iptables的一个可选扩展提供了新的命令行选项。

有时连入互连网的时候网关是动态的不确定的.如adsl上网

iptables -t nat -A OUTPUT -s 192.168.0.0.1/24 -j MARSUERADE

与本文关系暧昧的文字

标签：iptables

Feed enhanced by Better Feed from Ozh

apache,php安全小技巧

xiao H — Thu, 28 Feb 2008 07:11:23 +0000

最简单的安全技巧，隐藏apache，php 的版本信息

Apache:
打开 httpd.conf，加入以下两行:

ServerTokens ProductOnly
ServerSignature Off

PHP:
打开 php.ini，加入:

expose_php = Off

完成以上两个设定后，重新启动 Apache 即可。

这个是最水货的安全措施了，另外apache 还可以改改源码把版本信息改为IIS
编辑apache 源码目录下 /include/ap_release.h 文件
参照下面代码修改

#define AP_SERVER_BASEVENDOR “这里填写开发组织名，例如：Microsoft Corp.”
#define AP_SERVER_BASEPRODUCT “这里填写服务器软件名，例如:Microsoft-IIS”
#define AP_SERVER_MAJORVERSION “主版本，例如：5″
#define AP_SERVER_MINORVERSION “次版本，例如：0″
#define AP_SERVER_PATCHLEVEL “修正版本，例如：1″

打开/include/os.h 文件,修改下面例句中的代码

#define PLATFORM “这里填写操作系统的名称，例如：Winnt”

打开文件 /os/PLATFORM/os.h ，修改

#define PLATFORM “这里填写操作系统的名称，例如：Winnt”

打开文件 /modules/generators/mod_info.c 修改

Search “Apache Server Information” replace with “这里填写在查看server-info现实的页面标题，例如:Microsoft-IIS Information”

打开文件 /modules/generators/mod_status.c 修改

Search “Apache Server Status” replace with “这里填写在查看server-status现实的页面标题，例如:Microsoft-IIS Status”

然后重新编译安装apache。

其实上面都是忽悠菜鸟用的，apache 中有一个modsecurity 对提升apache 的安全很有用，经过多年的发展功能已经非常强大，我个人最喜欢它对SQL注入的防护。另外 SE_linux 也是非常不错安全工具，不过这个东西配置起来比较麻烦，中文的文档也不多。

最基本的php的安全设置

disable_functions = phpinfo, get_cfg_var
display_errors = Off
allow_url_fopen = Off
safe_mode = On

open_basedir = /usr/local/httpd/htdocs/dir1:/usr/local/httpd/htdocs/dir2
#目录权限控制，dir1中的php程序就无法访问dir2中的内容。反过来也不行

与本文关系暧昧的文字

标签：apache, php, 系统网络安全

Feed enhanced by Better Feed from Ozh

LINUX下的SYN攻击防御

xiao H — Tue, 12 Feb 2008 13:08:28 +0000

在怀疑有Dos攻击的时候，可以输入

netstat -an | grep -i “服务器ip地址:80″ | awk ‘{print }’| sort | uniq -c | sort -n

这个命令会自动统计Tcp连接各个状态的数量，如果SYN_RECV很高的话，就不能排除有基于tcp协议的ddos攻击的可能，这个时候可以打开tcp_syncookies，输入如下命令
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
如果没有 /proc/sys/net/ipv4/tcp_syncookies说明你的内核不支持，需要重新编译内核
同时降低syn重试次数

echo 1 > /proc/sys/net/ipv4/tcp_syn_retries
echo 1 > /proc/sys/net/ipv4/tcp_synack_retries

加大syn_backlog，以保证用户的访问（消耗内存为代价，设的太高）
echo “2048″ > /proc/sys/net/ipv4/tcp_max_syn_backlog

如果还是不行，那么只能交给相应的硬件防火墙了。

#防止SYN攻击轻量
/sbin/iptables -N syn-flood
/sbin/iptables -A INPUT -p tcp –syn -j syn-flood
/sbin/iptables -I syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j RETURN
/sbin/iptables -A syn-flood -j REJECT

#为了防止DOS太多连接进来,那么可以允许最多15个初始连接,超过的丢弃
/sbin/iptables -A INPUT -s $INNET -p tcp -m state –state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -i $EXTIF -p tcp –syn -m connlimit –connlimit-above 15 -j DROP
/sbin/iptables -A INPUT -s $INNET -p tcp –syn -m connlimit –connlimit-above 15 -j DROP

#设置icmp阔值 ,并对攻击者记录在案
/sbin/iptables -A INPUT -p icmp -m limit –limit 3/s -j LOG –log-level INFO –log-prefix “ICMP packet IN:”
/sbin/iptables -A INPUT -p icmp -m limit –limit 6/m -j ACCEPT
/sbin/iptables -A INPUT -p icmp -j DROP

# 防止端口扫描
iptables -I INPUT -p icmp –icmp-type echo-request -m state –state NEW -j DROP
#禁止PING

iptables -A INPUT -i eth0 -p tcp –tcp-flags ALL FIN,URG,PSH -j DROP
#标志为FIN，URG，PSH拒绝

iptables -A INPUT -i eth0 -p tcp –tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -i eth0 -p tcp –tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A INPUT -i eth0 -p tcp –tcp-flags ALL ALL -j DROP
iptables -A INPUT -i eth0 -p tcp –tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
iptables -A INPUT -i eth0 -p tcp –tcp-flags ALL NONE -j DROP

（附：218。94。6。179/188两台服务器安装的WEBMIN限定*。181网关连接，密码为：fangzhi790529）
# 防止SYN FLOOD
iptables -N synfoold
iptables -A synfoold -p tcp –syn -m limit –limit 1/s -j RETURN
iptables -A synfoold -p tcp -j REJECT –reject-with tcp-reset
iptables -A INPUT -p tcp -m state –state NEW -j synfoold
# 禁止PING

iptables -N ping
iptables -A ping -p icmp –icmp-type echo-request -m limit –limit 1/second -j RETURN
iptables -A ping -p icmp -j REJECT
iptables -I INPUT -p icmp –icmp-type echo-request -m state –state NEW -j ping
# 端口过滤

#这个script 内容，很适合只允许外面链接特定的 port服务，剩下其余的 port 就拒绝外面主动链接
iptables -A INPUT -i eth0 -p tcp –dport 21 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp –dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp –dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp –dport 389 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp –dport 1002 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp –dport 1720 -j ACCEPT
iptables -A INPUT -i eth0 -p udp –dport 2121 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp –dport 3306 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp –dport 8009 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp –dport 8080 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp –dport 8081 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp –dport 10000 -j ACCEPT
iptables -A INPUT -i eth0 -m state –state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -m state –state NEW,INVALID -j DROP

ipdrop
　　如果能创建一个特殊的”ipdrop”脚本，其被设计为能方便地插入一个规则来阻塞指定的IP，那么将上面的工作将非常容易。通过该脚本阻塞某个IP将是非常容易的工作，只需要几秒钟就可以实现。而且通过该脚本还可以防止手工加入规则时容易出现的错误。因此阻塞黑客的攻击将变为确定其攻击源地址。然后通过如下命令：

# ipdrop 129.24.8.1 on

IP 129.24.8.1 drop on.
　　
ipdrop脚本将立即阻塞129.24.8.1。通过使用该脚本能显著地提高你的防卫能力。下面就是ipdrop脚本的

实现：
The ipdrop bash script
#!/bin/bash
source /usr/local/share/dynfw.sh
args 2 $# “${0} IPADDR {on/off}” “Drops packets to/from IPADDR Good for obnoxious networks/hosts/DoS”
if [ "$2" == "on" ]
then

#rules will be appended or inserted as normal

APPEND=”-A”
INSERT=”-I”
rec_check ipdrop $1 “$1 already blocked” on
record ipdrop $1
elif [ "$2" == "off" ]
then

#rules will be deleted instead

APPEND=”-D”
INSERT=”-D”
rec_check ipdrop $1 “$1 not currently blocked”off
unrecord ipdrop $1
     else
      echo “Error: “off” or “on” expected as second argument”
exit 1
   fi

#block outside IP address thats causing problems
#attackers incoming TCP connections will take a minute or so to time out,
#reducing DoS effectiveness.

iptables $INSERT INPUT -s $1 -j DROP
iptables $INSERT OUTPUT -d $1 -j DROP
iptables $INSERT FORWARD -d $1 -j DROP
iptables $INSERT FORWARD -s $1 -j DROP

echo “IP ${1} drop ${2}”
ipdrop:解释
　　从上面的脚本源代码中最后四行内容可以看到实际的命令是在防火墙表中插入适当的规则。可以看到$INSERT变量的值取决于在命令行参数中是使用”on”还是”off”模式。当iptables行被执行时特定的规则将被适当的插入或删除。

　　现在我们看看这些规则本身的功能，它们能和任何类型的防火墙一起发挥作用，甚至在没有部署防火墙的系统上。需要的条件仅仅是支持iptables的Linux2.4版本的内核。我们阻塞来自恶意IP的攻击数据报(第一条iptables语句)，阻塞发向恶意攻击IP的数据报(第二条iptables语句)，并且对该IP关闭任意方向的数据转发(最后两条iptables工具)。一旦这些规则发挥作用系统将丢弃满足这些条件的任何数据报。
　　
    另外一个需要注意的是：脚本中调用了”rec_check”, “unrecord”, “record”,和”args”。这些都是定义在”dynfw.sh”中的特殊的bash函数。”record”函数实现将被阻塞的IP记录在文件/root下隐藏文件dynfw-tcplimit中，而”unrecord”则是将其从文件/root下隐藏文件dynfw-tcplimit中去除。”rec_check”函数是在发现试图重新阻塞某个已经阻塞的IP地址或取消某个没有被阻塞的IP地址时输出错误信息并停止脚本执行。”args”函数实现确保命令行参数的正确性，并实现打印脚本帮助命令。文件dynfw-1.0.tar.gz包含所有的这些工具。

tcplimit
　　如果你需要对某个特殊的基于TCP的网络服务的使用进行限制(例如在端系统上产生严重负载时)，则tcplimit脚本则可以帮助你达到这个目的，该脚本使用TCP端口、一个率值和”on”或”off”作为参数：
# tcplimit 873 5 minute on
Port 873 new connection limit (5/minute, burst=5) on.
　　
    tcplimit使用iptables的”state”模块(应确保在内核中打开该选项或加载模块)来实现在某段时间内只允许特定数目的连接请求通过。在本例中防火墙将限制每分钟只允许5个新连接到我的rsync服务器(port 873)。当然你可以根据需要选择时间单位为秒钟/分钟/小时。
　　
    tcplimit提供了一个限制对非关键服务的使用的非常好的方法－这样大量到非关键服务的数据不会破坏服务器。在上面的例子中使用tcplimit来设置使用rsync的限制，以防止tsync数据占用了Internet连接的所有带宽。其中连接服务限制信息记录在文件/root下隐藏文件dynfw-tcplimit中。若想关闭该限制只需要键入如下命令：
# tcplimit 873 5 minute off
Port 873 new connection limit off.
　　
    tcplimit通过在”filter”表中创建一个新的规则链来实现。这个新的规则链将拒绝所有超过指定限制的数据报，同时将一个规则插入到INPUT规则链中，其将所有的到目标端口(在本例中是873端口)的新连接数据报定向到这个新的规则链。新规则链只会影响新的超过限制的连接而不会影响已经建立的连接。
　　
   当tcplimit定义的规则被关闭，INPUT规则和新规则链则会被删除。象ipdrop一样其tcplimit可以和任何类型的防火墙一起工作。

host-tcplimit
　　host-tcplimit和tcplimit非常类似，但是它是限制来自一个特定的IP的到服务器上某个特定端口的TCP连接数量。host-tcplimit在防止某个特定的人滥用你的网络资源时非常有用处。例如你维护有一个CVS服务器，有一天突然发现一个特殊的新开发者出现了，他好像建立了一个脚本每十分钟更新它的资源。占用了大量的网络资源。
　　
   对于这种情况，使用host-tcplimit可以非常容易的解决问题：

# host-tcplimit 1.1.1.1 2401 1 day on
　　
现在IP地址为1.1.1.1被限制为每天只能进行一次CVS连接从而节省了网络带宽。

与本文关系暧昧的文字

标签：Firewall, iptables, SYN

Feed enhanced by Better Feed from Ozh

SYN Cookie Firewall

xiao H — Tue, 12 Feb 2008 07:20:49 +0000

原文在：http://www.bronzesoft.org/projects/scfw/ 翻译：包子

本文介绍了４个概念
一：介绍SYN
二：什么是SYN洪水攻击
三：什么是SYN cookie

四：什么是SYN cookie防火墙
C=client(客户器)
S=Server(服务器)
FW=Firewall(防火墙)

一：介绍SYN
SYN cookie是一个防止SYN洪水攻击技术。他由D. J. Bernstein和Eric Schenk发明。现在SYN COOKIE已经是linux内核的一部分了（我插一句，默认的stat是no),但是在linux系统的执行过程中它只保护linux系统。我们这里只是说创建一个linux防火墙，他可以为整个网络和所有的网络操作系统提供SYN COOKIE保护你可以用这个防火墙来阻断半开放式tcp连接，所以这个受保护的系统不会进入半开放状态(TCP_SYN_RECV)。当连接完全建立的时候，客户机到服务器的连接要通过防火墙来中转完成。二：什么是SYN洪水攻击？（来自CERT的警告）
当一个系统（我们叫他客户端）尝试和一个提供了服务的系统（服务器）建立TCP连接，C和服务端会交换一系列报文。这种连接技术广泛的应用在各种TCP连接中，例如telnet,Web,email,等等。
首先是C发送一个SYN报文给服务端，然后这个服务端发送一个SYN-ACK包以回应C，接着，C就返回一个ACK包来实现一次完整的TCP连接。就这样，C到服务端的连接就建立了，这时C和服务端就可以互相交换数据了。下面是上文的图片说明：）
Client Server
—— ——
SYN——————–>

<——————–SYN-ACK

ACK——————–>

Client and server can now
send service-specific data

在S返回一个确认的SYN-ACK包的时候有个潜在的弊端，他可能不会接到C回应的ACK包。这个也就是所谓的半开放连接，S需要耗费一定的数量的系统资源来等待这个未决的连接，虽然这个数量是受限的，但是恶意者可以通过创建很多的半开放式连接来发动SYN洪水攻击。

通过ip欺骗可以很容易的实现半开放连接。攻击者发送SYN包给受害者系统，这个看起来是合法的，但事实上所谓的C根本不会回应这个SYN-ACK报文，这意味着受害者将永远不会接到ACK报文。
而此时，半开放连接将最终耗用受害者所有的系统资源，受害者将不能再接收任何其他的请求。通常等待ACK返回包有超时限制，所以半开放连接将最终超时，而受害者系统也会自动修复。虽然这样，但是在受害者系统修复之前，攻击者可以很容易的一直发送虚假的SYN请求包来持续攻击。
在大多数情况下，受害者几乎不能接受任何其他的请求，但是这种攻击不会影响到已经存在的进站或者是出站连接。虽然这样，受害者系统还是可能耗尽系统资源，以导致其他种种问题。攻击系统的位置几乎是不可确认的，因为SYN包中的源地址多数都是虚假的。当SYN包到达受害者系统的时候，没有办法找到他的真实地址，因为在基于源地址的数据包传输中，源ip过滤是唯一可以验证数据包源的方法。

三：什么是SYN cookie？
SYN cookie就是用一个cookie来响应TCP SYN请求的TCP实现，根据上面的描述，在正常的TCP实现中，当S接收到一个SYN数据包，他返回一个SYN-ACK包来应答，然后进入TCP-SYN-RECV（半开放连接）状态来等待最后返回的ACK包。S用一个数据空间来描述所有未决的连接，然而这个数据空间的大小是有限的，所以攻击者将塞满这个空间。在TCP SYN COOKIE的执行过程中，当S接收到一个SYN包的时候，他返回一个SYN-ACK包，这个数据包的ACK序列号是经过加密的，也就是说，它由源地址，端口源次序，目标地址，目标端口和一个加密种子计算得出。然后S释放所有的状态。如果一个ACK包从C返回，S将重新计算它来判断它是不是上个SYN-ACK的返回包。如果这样，S就可以直接进入TCP连接状态并打开连接。这样，S就可以避免守侯半开放连接了。
以上只是SYN COOKIE的基本思路，它在应用过程中仍然有许多技巧。请在前几年的kernel邮件列表查看archive of discussions的相关详细

内容。
4，什么是SYN COOKIE 防火墙
SYN COOKIE 防火墙是SYN cookie的一个扩展，SYN cookie是建立在TCP堆栈上的，他为linux操作系统提供保护。SYN cookie防火墙是linux的一大特色，你可以使用一个防火墙来保护你的网络以避免遭受SYN洪水攻击。
下面是SYN cookie防火墙的原理
client firewall server
—— ———- ——
1. SYN———– – - – - – - – - – ->
2. <————SYN-ACK(cookie)
3. ACK———– – - – - – - – - – ->
4. – - – - – - -SYN—————>
5. <- – - – - – - – - ————SYN-ACK
6. – - – - – - -ACK—————>

7. ———–> relay the ——->
<———– connection <——-
1:一个SYN包从C发送到S
2：防火墙在这里扮演了S的角色来回应一个带SYN cookie的SYN-ACK包给C
3：C发送ACK包，接着防火墙和C的连接就建立了。
4：防火墙这个时候扮演C的角色发送一个SYN给S
5：S返回一个SYN给C
6：防火墙扮演C发送一个ACK确认包给S，这个时候防火墙和S的连接也就建立了
7：防火墙转发C和S间的数据
如果系统遭受SYN Flood，那么第三步就不会有，而且无论在防火墙还是S都不会收到相应在第一步的SYN包，所以我们就击退了这次SYN洪水攻击

五：下载

ip_scfw-0.92.tar.gzhttp://www.bronzesoft.org/projects/scfw/ip_scfw-0.9.2.tar.gz)是最新的版本，他包括一个for linux 2.2.17内核的补丁和管理工具，下载他并按照readme文件安装。

Designhttp://www.bronzesoft.org/projects/scfw/Design）是一个详细的解释了这个代码的文档，它也包含在这个tar-gz包内，你也可以在线阅读它

ChangeLoghttp://www.bronzesoft.org/projects/scfw/ChangeLog）说到了这个计划的进展。

tcpdos.tgzhttp://www.bronzesoft.org/projects/scfw/tcpdos.tgz)是一个发起SYN洪水攻击的工具，你可以使用它来测试你的SYN cookie防火墙

与本文关系暧昧的文字

LINUX下的SYN攻击防御

标签：Firewall, SYN

Feed enhanced by Better Feed from Ozh