服务器之家:专注于服务器技术及软件下载分享
分类导航

Linux|Centos|Ubuntu|系统进程|Fedora|注册表|Bios|Solaris|Windows7|Windows10|Windows11|windows server|

服务器之家 - 服务器系统 - Linux - 利用Linux防火墙隔离本地欺骗地址的方法详解

利用Linux防火墙隔离本地欺骗地址的方法详解

2022-03-09 16:56leemeans Linux

防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。下面这篇文章主要给大家介绍了关于如何利用Linux防火墙隔离本地欺骗地址的相关资料,文中介绍的非常详细,需要的朋友可以

前言

即便是被入侵检测和隔离系统所保护的远程网络,黑客们也在寻找各种精巧的方法入侵。IDS/IPS 不能停止或者减少那些想要接管你的网络控制权的黑客攻击。不恰当的配置允许攻击者绕过所有部署的安全措施。

在这篇文章中,我将会解释安全工程师或者系统管理员该怎样避免这些攻击。

几乎所有的 Linux 发行版都带着一个内建的防火墙来保护运行在 Linux 主机上的进程和应用程序。大多数防火墙都按照 IDS/IPS 解决方案设计,这样的设计的主要目的是检测和避免恶意包获取网络的进入权。

Linux 防火墙通常有两种接口:iptables 和 ipchains 程序(LCTT 译注:在支持 systemd 的系统上,采用的是更新的接口 firewalld)。大多数人将这些接口称作 iptables 防火墙或者 ipchains 防火墙。这两个接口都被设计成包过滤器。iptables 是有状态防火墙,其基于先前的包做出决定。ipchains 不会基于先前的包做出决定,它被设计为无状态防火墙。

在这篇文章中,我们将会专注于内核 2.4 之后出现的 iptables 防火墙。

有了 iptables 防火墙,你可以创建策略或者有序的规则集,规则集可以告诉内核该如何对待特定的数据包。在内核中的是Netfilter 框架。Netfilter 既是框架也是 iptables 防火墙的项目名称。作为一个框架,Netfilter 允许 iptables 勾连被设计来操作数据包的功能。概括地说,iptables 依靠 Netfilter 框架构筑诸如过滤数据包数据的功能。

每个 iptables 规则都被应用到一个表中的链上。一个 iptables 链就是一个比较包中相似特征的规则集合。而表(例如 nat 或者 mangle)则描述不同的功能目录。例如, mangle 表用于修改包数据。因此,特定的修改包数据的规则被应用到这里;而过滤规则被应用到 filter 表,因为 filter 表过滤包数据。

iptables 规则有一个匹配集,以及一个诸如 Drop 或者 Deny 的目标,这可以告诉 iptables 对一个包做什么以符合规则。因此,没有目标和匹配集,iptables 就不能有效地处理包。如果一个包匹配了一条规则,目标会指向一个将要采取的特定措施。另一方面,为了让 iptables 处理,每个数据包必须匹配才能被处理。

现在我们已经知道 iptables 防火墙如何工作,让我们着眼于如何使用 iptables 防火墙检测并拒绝或丢弃欺骗地址吧。

打开源地址验证

作为一个安全工程师,在处理远程的欺骗地址的时候,我采取的第一步是在内核打开源地址验证。

源地址验证是一种内核层级的特性,这种特性丢弃那些伪装成来自你的网络的包。这种特性使用反向路径过滤器方法来检查收到的包的源地址是否可以通过包到达的接口可以到达。(LCTT 译注:到达的包的源地址应该可以从它到达的网络接口反向到达,只需反转源地址和目的地址就可以达到这样的效果)

利用下面简单的脚本可以打开源地址验证而不用手工操作:

?
1
2
3
4
5
6
7
8
9
#!/bin/sh
#作者: Michael K Aboagye
#程序目标: 打开反向路径过滤
#日期: 7/02/18
#在屏幕上显示 “enabling source address verification”
echo -n "Enabling source address verification…"
#将值0覆盖为1来打开源地址验证
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
echo "completed"

上面的脚本在执行的时候只显示了 Enabling source address verification 这条信息而不会换行。默认的反向路径过滤的值是 0,0 表示没有源验证。因此,第二行简单地将默认值 0 覆盖为 1。1 表示内核将会通过确认反向路径来验证源地址。

最后,你可以使用下面的命令通过选择 DROP 或者 REJECT 目标之一来丢弃或者拒绝来自远端主机的欺骗地址。但是,处于安全原因的考虑,我建议使用 DROP 目标。

像下面这样,用你自己的 IP 地址代替 IP-address 占位符。另外,你必须选择使用 REJECT 或者 DROP 中的一个,这两个目标不能同时使用。

?
1
2
iptables -A INPUT -i internal_interface -s IP_address -j REJECT / DROP
iptables -A INPUT -i internal_interface -s 192.168.0.0/16 -j REJECT / DROP

这篇文章只提供了如何使用 iptables 防火墙来避免远端欺骗攻击的基础知识。

via: https://opensource.com/article/18/2/block-local-spoofed-addresses-using-linux-firewall

总结

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对服务器之家的支持。

原文链接:https://linux.cn/article-9603-1.html

延伸 · 阅读

精彩推荐
  • Linux六个实用的Linux命令整理

    六个实用的Linux命令整理

    这篇文章主要介绍了六个实用的Linux命令整理,都是一些单行小命令,生疏的话可以随时拿来看两眼~需要的朋友可以参考下 ...

    moon's blo4952019-09-20
  • Linux在 Linux 上创建一个加密文件保险库

    在 Linux 上创建一个加密文件保险库

    使用 Linux 统一密钥设置(LUKS)为物理驱动器或云存储上的敏感文件创建一个加密保险库。...

    Linux中国11032021-04-14
  • LinuxLinux web服务怎么安装apache?安装apache教程

    Linux web服务怎么安装apache?安装apache教程

    这篇文章主要介绍了Linux web服务怎么安装apache,希望对大家有帮助 ...

    服务器之家2192019-10-11
  • Linux整理Linux中常用的一些grep命令

    整理Linux中常用的一些grep命令

    这篇文章主要介绍了整理Linux中常用的一些grep命令,本文列举了14个用于进行查找操作的grep命令,需要的朋友可以参考下 ...

    开源中文社区3242019-10-08
  • Linuxlinux使用cp报错 Text file busy

    linux使用cp报错 Text file busy

    有同事问到我:使用cp命令时,如果发现要被覆盖的文件(二进制可执行文件)正在运行,cp会报错,cp命令是怎么知道该文件正在执行的? ...

    linux教程网5212019-11-15
  • LinuxLinux VPS回程路由测试工具:traceroute

    Linux VPS回程路由测试工具:traceroute

    在使用或者挑选VPS的过程中,我们常常会说到线路问题,去程的话好处理,直接在本地或者其他目标地点tracert服务器IP就可以,如果在服务器上测试回程路...

    zrblog15292019-06-11
  • Linux5个可能被你忽略的Linux安全设置方法

    5个可能被你忽略的Linux安全设置方法

    众所周知,网络安全是一个非常重要的课题,而服务器是网络安全中最关键的环节。Linux被认为是一个比较安全的Internet服务器,作为一种开放源代码操作系...

    Linux教程网3642020-07-05
  • Linux浅谈linux线程切换问题

    浅谈linux线程切换问题

    下面小编就为大家带来一篇浅谈linux线程切换问题。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧...

    Linux教程网5972021-12-16