论坛风格切换切换到宽版
发帖 回复
返回列表
  • 784阅读
  • 5回复

[问题求助]朋友的服务器被攻击,请问有什么好办法DROP掉攻击者? [复制链接]

 上一主题 下一主题
离线冰之心.
初中三年级
 
发帖
2128
C币
-198361
威望
377
贡献值
1
银元
-6
铜钱
4807
人人网人气币
0
只看楼主 倒序阅读 使用道具 楼主  发表于: 2009-05-01
朋友的服务器用的是一台linux做的防火墙,做的NAT带8台服.务器提供公网服务.从昨天开始攻击,早上已经瘫.痪一台,现在还在不停的攻击电影
dmesg日志如下:


QUOTE:Aug 14 10:42:56 bogon kernel.: Dangerous: IN=eth0 OUT=eth1 SRC=218.200.243.232 DST=.192.168.1.53 LEN=120 TOS.=0x00 PREC=0x00 T.TL.=46 ID=22810 PROTO=TCP SPT=1707 DPT=22 WINDOW=8820 RES=0x00 ACK PSH URGP=0 .
Aug 14 10:42:58 bogon kernel: Invalid forward: IN=eth0 OUT=eth0 SRC=118.169.201.210 DST.=19.2.168.1.61 LEN=87 TOS=0x00 PREC=0x00 TTL=111 ID=53291 PR.OTO=ICMP T.YPE=3 CODE=3 [SRC=192.168.1.61 DS.T=192.168.1.10 LEN=59 TOS=.0x00 PREC=0x00 TTL=45 ID=3.730 PROTO=UDP SPT=1103 DPT=2734 LEN=39 ]               乙肝
Aug .14 10:4.3:27 bogon kernel: Invalid forw.ard: IN=eth0 OUT=eth0 SRC=118.169.201.210 DST=192.168.1.61 LEN=87 TOS=0x0.0 PREC=0x00 TTL=111 ID=53941 PROTO=ICMP TYPE=3 CODE=3 [SRC=192.168.1.61 DST=192.168.1.10 LEN.=59 TOS=0x00 PREC=0x00 TTL=45 ID=26330 PROTO=U.DP SPT=1103 DPT=2734 LE.N=39 ] .
Aug 14 10:43:36 bogon kernel: Invalid fo.rward: IN=eth0 OUT=eth0 SRC=1.18.169.201.210 DST=192..168.1.61 LEN=87 TOS=0x00 PREC=0x00 TTL=111 ID=54155 PROTO=ICMP TYPE=3 CODE=3 [SRC=.192.168.1.61 DST=192.168.1.10 LEN=5.9 TOS=0x00 PREC=0x0.0 TTL=45 ID=35185 PROTO=UDP SPT=1103 DPT=2734 LEN=39 ]. 虚拟主机
A.ug 14 10:44:06 bogon kernel: Dangerous.: IN=eth0 OUT=eth1 SRC=222.92.109.226 DST=192.168.1..60 LEN=52 .TOS=0x00 PREC=0x00 TTL=49 ID=19579 DF PROTO.=TCP SPT=45552 DPT=22 WINDOW=2003 RES=0x00 ACK URGP=0 <性病>
Aug 14 10:45:14 bogon kernel: Invalid forward.: IN=eth0 OUT=eth0 SRC=118.169.201.210 .DST=192.168.1.61 LEN=87 TOS=.0x00 PREC=0x00 TTL=.111 ID=58071 PROTO=ICMP TYPE.=3 CODE=3 [SRC=192.1.68.1.61 DS.T=192.168.1.10 LEN=59 TOS=0x00 PREC=0x00 TTL=45 ID=60524 PROTO=UDP SPT=1103 DPT=2857 LEN=39 ] --------------彩票
A.ug 14 10:45:43 bogon kernel: Invalid forward: IN=eth0 OUT=eth0 SRC=118.169.201.210 DST.=192.168.1..61 LEN=87 TOS=0x00 PREC=0x00 TTL=111 ID=58827 PR.OTO=ICMP TYPE=3 CODE=3 [SRC=192.168.1.61 DST.=192.168.1.10 LEN=59 TOS=0x00 PREC=0.x00 T.TL=45 ID=24229 PROTO=UDP SPT=1103 DPT=2857 LEN=39 ] .
Aug 14 10:45:47 bogon ker.nel: OUTPUT packets died: IN= OUT=eth0 SRC=192..168.1.61 DST=192.35.244.50 LEN=40 TOS=0x00 PREC=0x00 TTL=255. ID=0 DF PROTO=TCP .SPT=1999. DPT=80 WINDOW=0 RES=0x00 RST URGP=0     健康
Aug 14 10:45:55. bogon kernel: Dangero.us: IN=eth0 OUT=eth.1 SRC=218.200.243.232 DST=192.168..1.53. LEN=120 TOS=0x00 PREC=0x00 TTL=46 ID=28931 PROTO=TCP SPT=1707 DPT=22 WINDOW=8820 RES=0x00 ACK PSH URGP=0 服务器
Aug 14 10:45:55 bogon kernel: Dangerous: IN=eth0 OUT=eth1 SRC=218.200.243.232 DST=192.16.8.1..53 LEN=40 TOS=0x00 PREC=0x00 T.TL=46 ID=28932 PROTO.=TCP SPT=1707 DPT=22 W.INDOW=8724 RES=0x00 ACK URGP=0 .


我用"iptables -A FOR.WARD -i eth0 -s 218.200..243.232 -j DROP"还是没起效果.
请问各位大大有什么好的策略能够.DROP他们?域名
评价一下你浏览此帖子的感受

精彩
感动
搞笑
开心
愤怒
无聊
灌水
回复
举报
分享到 淘江湖 新浪 QQ微博 QQ空间 开心 人人 豆瓣 网易微博 百度 鲜果 白社会 飞信
离线kawayiyi.
初中三年级
发帖
2126
C币
-60558
威望
397
贡献值
1
银元
-2
铜钱
4789
人人网人气币
0
只看该作者 沙发  发表于: 2010-04-13
链用错了,如果是服务器的话,应该是 INPUT 而不是 FORWARD
你对 iptables 各个表各个链的理解有问题
回复
举报
离线潋滟.
初中三年级
发帖
2175
C币
-262430
威望
417
贡献值
1
银元
-1
铜钱
4968
人人网人气币
0
只看该作者 板凳  发表于: 2010-04-13
感谢白金大哥的回复.开始我就是加的INPUT,不起作用,
后来我想他不是直接攻击防火墙,而是攻击里面的服务器,所以才想当然的用上FORWARD链,认为可以拦住.

或者我该在61和53上加INPUT的DROP试试

[ 本帖最后由 剑次狼 于 2008-8-14 12:40 编辑 ]
回复
举报
离线无缘无故.
初中三年级
发帖
1973
C币
-198791
威望
339
贡献值
1
银元
-1
铜钱
4278
人人网人气币
0
只看该作者 地板  发表于: 2010-04-13
加了吗,加了有用吗???
回复
举报
离线yetengfeifei.
初中三年级
发帖
2033
C币
-280850
威望
375
贡献值
1
银元
-4
铜钱
4608
人人网人气币
0
只看该作者 4楼 发表于: 2010-04-13


QUOTE:原帖由 剑次狼 于 2008-8-14 12:39 发表
感谢白金大哥的回复.开始我就是加的INPUT,不起作用,
后来我想他不是直接攻击防火墙,而是攻击里面的服务器,所以才想当然的用上FORWARD链,认为可以拦住.

或者我该在61和53上加INPUT的DROP试试

可以通过 iptables -vnL 来查看是否匹配到了,另外还要注意顺序
iptables -I INPUT -p icmp -j DROP
可以测试一下能否防 ping,如果可以,证明理论是没问题的,出问题的可能是匹配条件和匹配顺序问题
回复
举报
离线besthome.
初中三年级
发帖
2167
C币
-60450
威望
400
贡献值
1
银元
0
铜钱
4842
人人网人气币
0
只看该作者 5楼 发表于: 2010-04-13


QUOTE:原帖由 platinum 于 2008-8-14 15:33 发表

可以通过 iptables -vnL 来查看是否匹配到了,另外还要注意顺序
iptables -I INPUT -p icmp -j DROP
可以测试一下能否防 ping,如果可以,证明理论是没问题的,出问题的可能是匹配条件和匹配顺序问题


恩,好久没摸iptables,基本规则用法忘的差不多了

起了作用了~朋友说现在好多了
因为他走向不是进FW的INPUT所以不起作用

用iptables -vnL看到如下


QUOTE:    0     0 DROP       all  --  *      *       222.92.109.226       0.0.0.0/0          
    0     0 DROP       all  --  *      *       118.169.201.210      0.0.0.0/0          
    0     0 DROP       all  --  *      *       211.71.8.28          0.0.0.0/0          
    0     0 DROP       all  --  *      *       218.107.250.78       0.0.0.0/0          
    0     0 DROP       all  --  *      *       60.172.210.8         0.0.0.0/0          
    0     0 DROP       all  --  eth0   *       125.85.149.23        0.0.0.0/0    

我加的是PREROUTING里的
iptables -t nat -A PREROUTING -s 222.92.109.226 -j DROP(白金大哥看了估计又要说我了不专链专用)


用iptables -vnL -t nat表里拒绝信息如下:


QUOTE:  199 23084 DROP       all  --  *      *       222.92.109.226       0.0.0.0/0          
    0     0 DROP       all  --  *      *       118.169.201.210      0.0.0.0/0          
    0     0 DROP       all  --  *      *       211.71.8.28          0.0.0.0/0          
    0     0 DROP       all  --  *      *       218.107.250.78       0.0.0.0/0


这次还好只是单个机器攻击,还好不是DD.
回复
举报
发帖 回复
返回列表
快速回复
限100 字节
批量上传需要先选择文件,再选择上传
 
上一个 下一个