iptables
1 iptables实现字符串匹配,URL过滤,安全策略
通过string匹配域名来过滤,范例如下:
iptables -I OUTPUT -p tcp -m string --string "qq.com" --algo bm -j DROP iptables -I OUTPUT -p udp -m string --string "qq.com" --algo kmp -j DROP
防止入侵的方法 iptables -I INPUT 1 -p tcp --dport 80 -m string --string "cmd.exe" --algo bm -j DROP iptables -I INPUT -j DROP -p tcp -s 0.0.0.0/0 -m string --algo kmp --string "cmd.exe" 保护DDOS服务 iptables -I INPUT 1 -p tcp --dport 80 -m string --string "domain.com" --algo kmp -j DROP 防止电子邮件欺骗 iptables -I INPUT -p tcp --dport 25 -m string --string "Subject" --algo bm -j DROP 做个最优规则 iptables -I INPUT -p tcp --dport 25 -m string --string "Subject" --algo bm --to 15000 -j DROP
使用string模块来匹配16进制的报文内容, 如果报文中存在00 00 ff 00 01时就丢弃该请求, 这里的 00 00 ff 00 01 匹配的是请求ANY的DNS query
iptables -A INPUT -p udp --dport 53 -m string --hex-string "|00 00 ff 00 01|" --algo bm --to 255 -j DROP
2 使用recent模块, 在60s内同一IP发起的链接超过10个时, 之后的请求全都丢弃, 用来降低恶意DNS间隔.
iptables -A INPUT -p udp --dport 53 -m recent --set --name dnsdosiptables -A INPUT -p udp --dport 53 -m recent --update --seconds 60 --hitcount 11 --name dnsdos -j DROP
3 使用connlimit模块, 同一IP发起超过3个连接之后的所有连接都直接丢弃, 这样可以限制恶意DNS请求的瞬时速率.
iptables -A INPUT -p udp --dport 53 -m connlimit --connlimit-above 3 -j DROP
4 另外如果想把奇怪的请求都记录下来, 可以通过下面这个命令记录到日志里, 以便后续的检查.
iptables -A INPUT -p udp -m udp --dport 53 -m string --hex-string "|00 00 ff 00 01|" --algo bm --to 255 -m limit --limit 1/min -j LOG --log-prefix "ANY DRDOS: "