快速业务通道

Linux防火墙中的IP地址欺骗问题基本防范

作者 佚名技术 来源 Linux系统 浏览 发布时间 2012-04-21

通常遇到一些在设定防火墙规则时,经常忽略掉IP欺骗攻击的问题,什么是IP欺骗呢﹖请教您一个问题,如果图中防火墙的规则为iptables -A FORWARD -i eth0 -p all -s 192.168.1.10 -j DROP,请问黑客192.168.1.10主机上,能不能将攻击封包送到192.168.2.50这部主机上﹖

以上这个问题是肯定的,黑客只要伪造来源端IP,即可轻易的骗过防火墙,而将攻击封包注入192.168.2.50这部主机,因此,当我们在设计防火墙规则时,请留意下列几种特定的来源端IP

l Localhost IP

IP欺骗的攻击中,127.0.0.1这个IP也是常被拿来伪装的对象,我们可以在防火墙规则中加入以下的规则,以滤除这类的IP欺骗的攻击.

iptables -A INPUT -i ! lo -s 127.0.0.0/8 -j DROP

l Private IP

Internet IP的划分上,将IP划分成Class ABC三个区段,而在每个层级的Class中都有保留一段Private IP,如果我们从因特网上收到从Private IP区段送来的封包,皆可视为不正常的来源封包,因此,我们可以在防火墙规则中加入以下的规则,以滤除这类的IP欺骗的攻击.

iptables -A INPUT -p all -s 10.0.0.0/8 -j DROP

iptables -A INPUT -p all -s 172.16.0.0/12 -j DROP

iptables -A INPUT -p all -s 192.168.0.0/16 -j DROP

l MULTICAST IP

MULTICAST通常用于音讯或视讯讯号的传送,而MULTICAST封包所使用的IP网段为224.0.0.0/4,且封包传输协议一定为UDP,如果有封包来自于224.0.0.0/4区段,而其传输协议为UDP以外的协议,即可将之丢弃掉.我们可以在防火墙规则中加入以下的规则,以滤除这类IP欺骗的攻击.

iptables -A INPUT -p ! udp -s 224.0.0.0/4 -j DROP

IP,其参数及修改方式如下﹕

for i in /proc/sys/net/ipv4/conf/*/rp_filter; do

echo 1 > $i

done

如此一来,Linux核心就可自动滤除这类封包了.

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!

分享到: 更多
上一篇: Linux下一篇: linux 配置文件

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD):厦门软件园二期望海路63号701E(东南融通旁) 邮编(ZIP):361008

电话:0592-5908028 传真:0592-5908039 咨询信箱:web@lingzhong.cn 咨询OICQ:173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号