نحوه جلوگیری از حملات ddos توسط iptables

نحوه جلوگیری از حملات ddos توسط iptables

چگونه iptable لینوکس حملات شایع را مسدود میکند؟

لیست زیر خلاصه ای از حملات شایع و مرسوم در کامپیوترهای لینوکسی است :

حمله syn-flood :

در این حمله ، سیستم با یک سری پکتهای syn سیلاب می شود . هر بسته ای منجر به ایجاد پاسخ syn-ack در سیستم خواهد شد . سپس سیستم ، منتظر ack می ماند که syn+ACk را دنبال میکند . از آنجایی که این حمله هرگز ack را دوباره نمی فرستد ، کل منابع سیستم ، صف aka backlog پر شده ای خواهند داشت . وقتی صف پر شد ، سیستم درخواستهای ورودی از کاربران قانونی را نادیده میگیرد . بنابراین باید این حمله توسط iptables متوقف گردد .

بررسی بسته ی Force SYN :

مطمئن شوید که کانکشن های tcp ورودی جدید ، بسته های syn هستند ، در غیر اینصورت باید آنها دور انداخته شوند :

iptables -A INPUT -p tcp ! –syn -m state –state NEW -j DROP

بررسی بسته های Force Fragments :

بسته هایی با تکه های ورودی را دور بیندازید . این حمله منجر به مواردی همچون از دست دادن اطلاعات سرور می شود .

iptables -A INPUT -f -j DROP

بسته های XMAS :

بسته های XMAS ورودی ناقص را دور بیندازید :

iptables -A INPUT -p tcp –tcp-flags ALL ALL -j DROP

تمامی بسته های تهی را دور بیندازید .

بسته های null ناقص ورودی :

iptables -A INPUT -p tcp –tcp-flags ALL NONE -j DROP

مسدود سازی آدرسهای بد و spoofing :

با استفاده از iptable شما می توانید آدرسهای مشکوک را دور بیندازید . سرور شبکه نباید بسته های ورودی از اینترنت که ادعا میکند از داخل شبکه آمده است ، را بپذیرد . spoofing یا حقه بازی اینترنتی را می توان به صورت زیر دسته بندی کرد :

1 .IP spoofing: آدرس مبدا افراد تصدیق شده را غیر فعال کنید . سرویسهای مبتنی بر PRC را همچون portmap و NFS را فیلتر کنید .

2 .dns spoofing :شما می توانید از NAT برای شبکه داخلی خود استفاده کنید . اینکار باعث می شود کلاه برداری از آی پی های داخلی برای مهاجمان خارجی سخت شود .

فیلتر ترافیکهای ICMP ، PING :

اینکار شامل پینگ حملات مرده و سیلابهای ICMP است . شما می توانید تمامی ترافیکهای ICMP  و PING را برای افراد حارجی به جز شبکه داخلی خود مسدود کنید . هنگامی که سیستم امن شد ، فایر وال خود را توسط دستورات nmapیا hping2 تست کنید :

 nmap -v -f FIREWALL-IP #
  nmap -v -sX FIREWALL-IP #
  nmap -v -sN FIREWALL-IP #
  hping2 -X FIREWALL-IP #