Chinaunix

标题: ufw防火墙，怎样防止拒绝服务攻击？ [打印本页]

作者: QQSYN 时间: 2015-04-15 11:05
标题: ufw防火墙，怎样防止拒绝服务攻击？
ufw防火墙，防止下面拒绝服务攻击，要修改什么系统文件：

1.IP欺骗性攻击
2.UDP洪水攻击
3.Ping洪流攻击
4.teardrop攻击
5.Land攻击
6.Smurf攻击
7.Fraggle攻击
8.还有其它么？

作者: zl624867243 时间: 2015-04-15 15:21
本帖最后由 zl624867243 于 2015-04-15 15:22 编辑

ufw是基于主机的防火墙哪有这么强大的功能咯。
vim /etc/default/ufw

作者: QQSYN 时间: 2015-04-15 17:37

zl624867243 发表于 2015-04-15 15:21
ufw是基于主机的防火墙哪有这么强大的功能咯。
vim /etc/default/ufw

要安装什么防火墙？

作者: zl624867243 时间: 2015-04-15 17:54
最好用硬件防火墙咯

作者: lyhabc 时间: 2015-04-16 14:34
企业用，建议上硬件防火墙，这种系统自带软件防火墙就像Windows自带的防火墙一样
这里有介绍
Ubuntu防火墙 UFW 设置
http://www.cnblogs.com/sxwailyc/archive/2010/07/10/1774909.html

ufw是ubuntu是默认的防火墙配置工具，相对于iptables,ufw使用更加简单

ufw基本操作
1
［］是代表可选内容，需要root权限
ufw [--dry-run] enable|disable|reload 命令［--试运行］激活｜关闭｜重新载入 ufw [--dry-run] default allow|deny|reject [incoming|outgoing] 命令［--试运行］默认允许｜阻止｜拒绝［访问本机｜向外访问］ deny让访问者知道数据被拒绝（回馈拒绝信息），这样调试网络时就知道是防火墙阻止了访问。reject则直接丢弃访问数据，访问者不知道是访问被拒绝还是不存在该主机。这个默认策略。相当于“总策略” 如果更改了默认策略，一些已经存在的规则可能需要手动修改。更多内容看“规则示例”一节。 ufw [--dry-run] logging on|off|LEVEL 命令［--试运行］日志开启｜关闭｜“级别” “级别”分为low、medium、high、full low 记录与默认策略冲突的封装数据包（记录速度被限制）。记录与规则符合的数据包（没有要求关闭记录的） medium 记录与默认策略冲突的数据包（包括被规则允许的）、无效数据包、所有新连接。记录速度被限制。 high 同medium，只是没有记录速度限制。附加记录所有数据包（有记录速度限制）。 full 与high等同，只是取消记录限制。 medium级别及更上级会记录许多内容，有可能短时间内撑爆你的硬盘。特别是用在服务器一类的机器上
2
ufw规则文件在/etc/ufw/before.rules ,/etc/ufw/after.rules,/var/lib/ufw/user.rules中，规则使用是按before.rules,再用user.rules,最后是after.rules,先设置规则会提前生效，后面规则不会覆盖上面的规则
3
启用
sudo ufw enable
sudo ufw default deny
运行以上两条命令后，开启了防火墙，并在系统启动时自动开启默认防御（阻止外部联接，放行对外联接），
4
允许 53 端口
$ sudo ufw allow 53
如果要控制协议，只要加入“/协议”在端口后面就行了。例如： ufw allow 25/tcp
允许某特定 IP
$ sudo ufw allow from 192.168.254.254
删除上面的规则
$ sudo ufw delete allow from 192.168.254.254
END
ufw实战
1
屏蔽ssh服务
sudo ufw deny ssh
2
允许10.10.100.0/12网段访问本机
sudo ufw allow from 10,10,100.0/12
3
禁止ping
编辑/etc/ufw/before.rules将 -A ufw-before-input -p icmp-tyoe echo-request -j ACCEPT 中-j ACCEPT 换成 -j DROP

作者: QQSYN 时间: 2015-04-16 21:13

lyhabc 发表于 2015-04-16 14:34
企业用，建议上硬件防火墙，这种系统自带软件防火墙就像Windows自带的防火墙一样
这里有介绍
Ubuntu防火墙 ...

ufw防火墙，能够防止上面这些拒绝服务攻击么？

作者: lyhabc 时间: 2015-04-16 21:47
@QQSYN
非常大流量的，都不能，所以还是靠硬件防火墙来顶

作者: QQSYN 时间: 2015-04-16 22:41

lyhabc 发表于 2015-04-16 21:47
@QQSYN
非常大流量的，都不能，所以还是靠硬件防火墙来顶

sudo ufw default deny

ufw防火墙，只设置了这条规则。
也可以防止，上面所有的拒绝服务攻击？

作者: phanx 时间: 2015-04-17 10:45
UFW本质上就是一个iptables的配置工具，起作用的还不是原来的iptables。
iptables 对 SYN-flood, UDP flood. ICMP flood 有一定的效果。对于IP欺骗效果不好。
iptables可以通过拒绝分片的UDP来防止teardrop。
Land攻击对于现代的OS没有效果，当然iptables也可以过滤就是过滤INPUT源地址和目标地址均为自己的包即可。
Smurf攻击由于是借助广播ICMP向受害者IP发起攻击，iptables 并不能很好的识别，和IP欺骗类似。只能通过限制发送ICMP的速度来降低伤害。
Fraggle攻击是Smurf的变形，用的UDP，和Smurf一样，效果也不好。

就像大家的意见，大部分攻击可以考虑从网络上的硬件防火墙去防护。

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)