这一段防御DOS攻击的描述，请高手解释一下。我看了还是晕晕的。。。|Linux系统专区人人网,QQ空间,登陆,renren,注册,校内,刷人气

离线resoo.

初中三年级

发帖: 2070

C币: -60419

威望: 390

贡献值: 1

银元: 0

铜钱: 4606

人人网人气币: 0

只看楼主倒序阅读使用道具楼主发表于: 2009-05-01

7.3.6..4 其他匹配的扩展     健康
这些netfilter包中的其他扩展尚属于演示阶段，（.如果安装了的话）可以用'-m'来启用。 ..
mac
--mac-source
可以跟一个'!'，后面是以太网地址，用冒号分隔的16近制表示，如`--mac-source. 00:60:08:91:CC:.B7'。 .
limit
此模块必须明确指定'-m limit'或'--match limit'。用来限制匹配的速率。就像抑制记录信息。只会.匹配.给定的数字/每秒（默认是每小时3个匹配，和5个触发）。可.以有两个参数：投资
--limit
后面跟数字：指定每秒钟允许的匹配最大.平均数。这个数字可以指定明确的单位，使用'/second'、`/minute'、`/hour' 或者 `/day'，或者. 只写一部分（.如'5/second'和'5/s'一样）。虚拟主机
--limit-burst
后面跟一个数字，指明在上面.的limit起作用前最大的.触发值。教育
这.个匹配（项）通常和LOG目标结合起来使用，以对速率限制进行记录。为了理解它是如何工作的，我们来看看下.面这条规则，它使用默认限制参数记录包。教育
# .iptables -A FORW.ARD -m limit -j LOG 域名
当这.条规则第一次启用时，包开始被记录。实际上，由.于默认触发是5，前五个包会被记录。然后，每隔20分钟再记录.一次包，无论这期间有多少包到达。而且，每个不匹配包的20分钟间.隔里，会恢复一个触发（值）。如果100分钟都没有包到达这个规则，那么所有触发都会恢复，回到起点。 .
提示：.你目前不能以大于59小时的时间来创建这种规则，所以如果你.设置一个平均率为一天，那么你的触发率必须小于3。            建材
你也可以将此模块用于避免使用快速响应速率的各类拒绝服务攻击(DoS，Denial .of Serve.r）。 .
（译者：以下.是较著名的攻击）            建材
Syn-floo.d protection: .
# iptables .-A FORWARD -p tcp --syn -m limit --limit 1/s -j ACC.EPT            女人

F.urtive port scanner: 教育
# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST .-.m limit --limit 1/s -j ACCEPT. 学习

Pi.ng of death: 外贸
# iptable.s -A FORWARD -p icmp --.icmp-type echo-request -m limit. --limit 1/s -j ACCEPT .
这个模块工作.原理类似于“节流阀”，以下是图示。     美容

                 r.ate (pkt./s)             电子
.                      ^  .      .---..
  .                     |     .  / DoS \(广告)
         .     .         |      /       \投资
          Edge of DoS. -|.....:.........\........................ DoS的边界 = 投资
           = (limit *  |    /:  .       . \          婚庆
          limit-burst) |   / :           \   .      .-...
                       |  / . :            \.       /   \           女人
                       | /   :          .   \.     /     \.
          End of DoS  -.|/....:...............:.../.......\..../.  DoS结束[成人用品]
           = limit     |     :      .  .      :`-'         `--'.
          -.------------+-----+--------------+------------------> .time (s)(        游戏          )
            . LOGIC =.>  Match | Didn't Match |    Match(        游戏          )

我们.匹配由五个包触发的.每秒一个包，不过每秒钟第四个包才开始进入（这个规则），进行三秒钟，然后重新开始。电脑
                  <--Fl.ood 1-->           <-.--Flood 2--->教育

          Total  ^              .     Line  __--      .YNNN.
          Pa..ckets|               Rate  __--      YNNN.
                 |        .    m.um  __--      YNNN.
            .  10. |        Maxi __--         Y.
                 |         __--          . . Y             电子
       .          |     __--             .  Y教育
      .           | __--.    YNNN.
             .    |-    YNN.N.
           .    5 |    Y             汽车
          .   .    |   Y                                Key:  Y .-> Matched Rule.
                 |  Y                        .            .   .N -> Didn't Match Rule             汽车
         .        | Y.
                 |.Y--- 印刷
               0 +-----.------------------------.----------------.----->  Time (seconds)<性病>
          .        0   1   2   3   4   5   6  . 7   8   9  10  11  12    健康

你可以看见，前五个包是.允许超过一个包/每秒（这个速率）的，然后就开始限制。如果有一个暂停，那么另一个.触发也是允许的，但不能超过规则设置的最大速率。 .
owner
--uid-owner userid .    健康
根据给出.的有效的（数值）user id来匹配包的创.建进程。           婚庆
--gid-owner groupid .域名
根据给.出的有效的（数值）grou.p id 来匹配包的创建进程。服务器
--pid-owner proces.sid <性病>
根据.给出的process id 来.匹配包的创建进程。 .
--sid-owner. sessionid .
根据给.出的 session group. 来匹配包的创建进程。               乙肝
unclean
这是试验性模块，必须明确指定'-m unclean'或者'--match unclean'。它对包进行各种随机判断。此模块还未通过审核，所以不.要用在安全设施上。（可能造成更糟糕的结果，它自己可能还有Bug）。没有提供.选.项。.

评价一下你浏览此帖子的感受

分享到 淘江湖新浪 QQ微博 QQ空间开心人人豆瓣网易微博百度鲜果白社会飞信

离线xm-2000.

初中三年级

发帖: 2076

C币: -139061

威望: 393

贡献值: 1

银元: -3

铜钱: 4691

人人网人气币: 0

只看该作者沙发发表于: 2010-04-13

Syn-flood protection:
# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

Furtive port scanner:
# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

Ping of death:
# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

这三条规则，谁给解释一下？谢谢了。

离线zystc.

初中三年级

发帖: 2161

C币: -313522

威望: 401

贡献值: 3

银元: -2

铜钱: 4696

人人网人气币: 0

只看该作者板凳发表于: 2010-04-13

这东西防不了，别研究了

离线梦的忧伤.

初中三年级

发帖: 2050

C币: -235278

威望: 397

贡献值: 1

银元: -1

铜钱: 4679

人人网人气币: 0

只看该作者地板发表于: 2010-04-13

QUOTE:原帖由 platinum 于 2007-9-6 16:54 发表

这东西防不了，别研究了

白金大哥，那我的防火墙一点抵抗攻击的能力都没有了啊。怎么办？

离线jiajiawang.

初中三年级

发帖: 2083

C币: -236104

威望: 413

贡献值: 2

银元: -3

铜钱: 4797

人人网人气币: 0

只看该作者 4楼发表于: 2010-04-13

准确的说只能防止你自身不被攻死。如果规则数值设置的太小了。不用别人DDOS你，你自己已经DDOS自己了。

离线焊线.

初中三年级

发帖: 2048

C币: -604756

威望: 406

贡献值: 4

银元: -1

铜钱: 4678

人人网人气币: 0

只看该作者 5楼发表于: 2010-04-13

至今好像还没有可以真正防的，只是把攻击的门坎提高了一点

离线2006195113.

初中三年级

发帖: 2126

C币: -235311

威望: 395

贡献值: 1

银元: 0

铜钱: 4650

人人网人气币: 0

只看该作者 6楼发表于: 2010-04-13

QUOTE:原帖由 ssffzz1 于 2007-9-6 18:40 发表

准确的说只能防止你自身不被攻死。如果规则数值设置的太小了。不用别人DDOS你，你自己已经DDOS自己了。

Syn-flood protection:
# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

Furtive port scanner:
# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

Ping of death:
# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
这三条规则有点用还是一无所用？如果有点用，数值怎么设置比较合理一些？请高手指教。


	http://www.csuboy.com 访问内容超出本站范围，不能确定是否安全


	关闭您还没有登录，快捷通道只有在登录后才能使用。立即登录还没有帐号？赶紧注册一个


	关闭选中1篇全选

帖子

[问题求助]这一段防御DOS攻击的描述，请高手解释一下。我看了还是晕晕的。。。 [复制链接]