1,避免Ping扫描
ping操作是通过icmp协议进行的,因此可通过Iptables对icmp协议进行过滤:
[simonsun@magic ~]$ sudo iptables -I INPUT -p icmp -j DROP
[simonsun@magic ~]$ sudo /etc/init.d/iptables save
将当前规则保存到 /etc/sysconfig/iptables: [确定]
[simonsun@magic ~]$ sudo iptables -t filter -nL
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP icmp -- 0.0.0.0/0 0.0.0.0/0
RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain RH-Firewall-1-INPUT (2 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255
ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0
ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:631
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:631
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:21
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:137
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:138
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:139
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:445
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:443
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
[simonsun@magic ~]$
由于要丢弃所有的ping操作,因此最好将这些规则加在iptables的最顶端,-I INPUT后面没有加入数字,表明在INPUT链的最顶端插入规则。
2,预防DDoS——Distributed Denial of service (分布式拒绝服务攻击)
在/etc/sysctl.conf里加入:
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_synack_retries = 3
net.ipv4.tcp_syn_retries = 3
并执行sysctl -p 以激活设置,
设置tcp_syncookies为1可以打开SYN Cookie功能,该功能可以防止部分SYN攻击;降低tcp_synack_retries以及tcp_syn_retries的值可以减少syn重试次数也有一定的效果。
PS:iteye的自动添加tag的功能确实很强,能把所有博客里的文章都自动就加上tag,但偶尔也加的不很准确,像我这篇文章,刚才发现被加的是:.net J#,网络协议, ”网络协议“应该是没错的,单net和j#是真不大对。现在我已经改过来了:linux shell 网络协议 iptables
分享到:
相关推荐
网络游戏中的网络攻击路径预测方法是信息安全领域的一个重要研究方向,主要目标是预防和抵御各种针对游戏服务器、玩家设备以及游戏内部环境的恶意攻击。在这个压缩包文件“网络游戏-网络攻击路径预测方法.zip”中,...
APR(Arp Poisoning Routing,ARP欺骗路由)攻击是一种常见的网络攻击手段,它利用了ARP协议的缺陷,使得攻击者能够截取网络中的数据包,甚至篡改或阻断通信。这种攻击方式通常用于窃取敏感信息、执行中间人攻击或者...
SQL注入(SQL Injection)是一种网络攻击手段,攻击者利用应用程序中的漏洞,在未经适当清理或验证的用户输入中嵌入恶意SQL代码,从而控制目标数据库系统执行非授权操作。这种攻击广泛存在于Web应用程序中,尤其当...
网站前端开发碰到的安全容易被人们...富客户端的应用越来越广,前端的安全问题也随之增多,今天就简单介绍下一些常见的攻击方式和预防攻击办法。 常见攻击 XSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻
### 知识点生成 ...本课程不仅介绍了常见的网络攻击手段和技术,还提供了具体的案例分析,有助于加深学员对网络安全攻击的理解。同时,通过学习防范方法,可以有效提升个人及组织的信息安全防护水平。
为了遏止相关网络攻击再恶化,美国网络犯罪申诉中心提出12点网络攻击预防措施。美国FBI网络犯罪中心(IC3)日前指出,利用微软SQL Server的漏洞,植入各种后门程序以取得有效使用者存取数据库权限,是目前黑客最常使用...
本文将深入探讨“网络游戏-网络攻击结构的获取方法与装置”这一主题,旨在揭示网络攻击的常见模式,以及如何有效地防御和应对这些攻击。 网络游戏中的网络攻击通常包括但不限于以下几种类型:DDoS(分布式拒绝服务...
总结:SQL注入是网络攻击中的一种常见手段,它利用了应用程序处理用户输入数据时的疏忽。理解SQL注入的工作原理和危害,以及如何预防,对于保护网络安全至关重要。开发者应始终关注代码安全,实施最佳实践,以降低被...
分布式拒绝服务攻击(DDoS攻击)是一种常见的网络攻击手段,其目标是使网络服务不可用,通过使用大量被控制的计算机对目标服务器进行过载攻击,从而导致合法用户无法获取服务。DDoS攻击之所以难以防御,在于其分布式...
《网络游戏-基于网络攻击伴随行为的DDoS攻击群体分析方法》这一资料主要探讨了在网络游戏中,尤其是多人在线游戏环境中,如何识别和分析分布式拒绝服务(DDoS)攻击的行为模式。DDoS攻击是一种恶意网络活动,它通过...
《缓冲区溢出攻击—检测、剖析与预防》是一本深入探讨网络安全中关键问题的专著,主要聚焦于缓冲区溢出这一常见的攻击手段。在IT行业中,缓冲区溢出是一种由于程序处理数据时,超过了预分配内存空间的限制而导致的...
XSS(跨站脚本攻击)是一种常见的网络攻击方式,它利用了Web应用中的安全漏洞,允许攻击者在用户的浏览器上执行任意脚本,从而盗取信息或对用户进行欺骗。在微信小程序或类似的小型移动应用中,由于它们具有与Web...
XSS(Cross-Site Scripting)攻击是一种常见的网络安全威胁,主要针对Web应用程序。攻击者通过在网页中注入恶意脚本,使用户在不知情的情况下执行这些脚本,从而窃取用户的敏感信息,如Cookie、登录凭据等。这种攻击...
4. **预防式管理**:一种常见的安全管理措施是设置访问列表(Access-list)在交换机上,允许或阻止特定类型的数据流,如只允许QQ流量而阻止QVOD等特定应用的流量。 5. **智能管理**:更高级的管理策略可能涉及流量...
拒绝服务攻击(DoS)是一种常见的网络攻击手段,通过大量无效请求使目标设备无法正常服务。例如,SYN泛洪攻击就是通过发送大量的半开TCP连接请求,消耗服务器资源,使其无法处理合法用户的请求。IP地址欺骗则是通过...
XSS攻击(Cross-site Scripting,跨站脚本攻击)是一种常见的网络安全攻击手段,攻击者利用恶意脚本代码注入网页,当用户浏览含有恶意脚本的网页时,这些代码会在用户浏览器上执行,从而达到攻击者的目的。XSS攻击...
XSS(Cross Site Scripting)跨站脚本攻击是一种常见的网络安全漏洞,它允许攻击者在用户浏览器上执行恶意脚本,从而获取敏感信息或者操控用户的行为。这种攻击主要发生在Web应用中,攻击者通过注入恶意代码,使受害...
虚假的二维码是另一种常见的网络诈骗手段,骗子会通过这些二维码引导用户进入钓鱼网站或下载恶意软件。因此,扫描二维码前,一定要确认其来源可信,避免在未知环境中输入任何敏感信息。 综上所述,提高网络安全意识...
### 了解并预防第二层攻击 #### 一、引言 在网络安全领域,对网络不同层次的保护至关重要。第二层(数据链路层)作为网络通信的基础层之一,其安全问题直接影响到整个网络架构的稳定性与安全性。由于第二层攻击...