使用 iptables 限制黑客猜密码

zoukankan html css js c++ java

使用 iptables 限制黑客猜密码
作者：高张远瞩(HiLoveS)

博客：http://www.cnblogs.com/hiloves/

转载请保留该信息

一般使用Linux做服务器都会开SSH服务用于管理，但世界上总有些无聊加无赖的黑客挂上字典暴力猜解你的密码，看着日志中不断增加的稀奇古怪的用户名，我不由的对这些不知疲倦的菜鸟起了敬佩之心。

好了，不想跟小菜玩了，今天介绍如何使用iptables的recent模块来防止暴力破解密码。

SSH服务默认端口是22，不过既然是你自己管理，大可改个端口，比如，本例中将SSH端口改成44322，一般只知用工具的菜鸟黑客都只会扫1000以下的端口，但一台计算机拥有65536个端口，随便把你的端口改到哪个犄角旮旯，就可以大幅度增加攻击者的成本。

下面的代码是直接修改/etc/sysconfig/iptables文件，当然也可以用脚本，脚本只要在每句前面加iptables就行了。
#SSH Login log 注：先记录都是谁要登录我的SSH服务，可以使用tail /var/log/iptables -n 100 | grep "SSH Login"查看最近谁在登录，iptables是日志文件名，日志名需要你自己在syslog中设置 -A INPUT -p tcp --dport 44322 --tcp-flags ALL SYN -m state --state NEW -j LOG --log-prefix "[SSH Login]:" --log-level debug #1 Hour allow 5 SSH Login 注：每3600秒(每小时)只限5次连接我的SSH服务，可以自己改时间和次数，在这里你可以用-j DROP来代替-j REJECT，-j REJECT --reject-with tcp-reset是对客户端明确的返回一个重置TCP连接的包，告诉对方我关闭连接了，如果你觉得不需要对攻击者这么好心，就用-j DROP直接丢弃包，让对方傻傻的等回包去。 -A INPUT -p tcp --dport 44322 --tcp-flags ALL SYN -m state --state NEW -m recent --name SSH-SYN --update --seconds 3600 --hitcount 5 --rttl -j REJECT --reject-with tcp-reset -A INPUT -p tcp --dport 44322 --tcp-flags ALL SYN -m state --state NEW -m recent --name SSH-SYN --set -j ACCEPT #SSH Service back data filter 注：过滤建立TCP连接后收到的数据包 -A INPUT -p tcp --dport 44322 --tcp-flags ALL ACK -m state --state ESTABLISHED -j ACCEPT -A INPUT -p tcp --dport 44322 --tcp-flags ALL ACK,PSH -m state --state ESTABLISHED -j ACCEPT -A INPUT -p tcp --dport 44322 --tcp-flags ALL ACK,FIN -m state --state ESTABLISHED -j ACCEPT -A INPUT -p tcp --dport 44322 --tcp-flags ALL RST -m state --state ESTABLISHED -j ACCEPT -A INPUT -p tcp --dport 44322 --tcp-flags ALL ACK,RST -m state --state ESTABLISHED -j ACCEPT -A INPUT -p tcp --dport 44322 --tcp-flags ALL ACK,URG -m state --state ESTABLISHED -j ACCEPT
这里使用了iptables的连接跟踪功能，就是-m state --state，因为TCP连接的第一个包只能是SYN包，所以第2、4、5行只允许SYN包进入，这样就防止了其他类型的包来搅局。第4、5行也能防止不伪造源IP地址的SYN FLood攻击。7至12行表示过滤TCP连接已建立后的包的类型，注意--tcp-flags ALL后面是正常的包，比如根本不能出现SYN/FIN包、FIN/RST包、SYN/FIN/PSH包、SYN/FIN/RST包、SYN/FIN/RST/PSH包，一旦出现这样的包说明你被攻击了。

这里要注意的一点就是，如果服务器管理员在一小时内成功登录了5次之后，他也不能登录了。因为iptables计算的是每小时内建立SSH连接的次数，不管你是猜密码还是正常登录。所以管理员最好做好配置计划。

本代码经iptables 1.3.5，ipt_recent 0.3.1测试。

上面的iptables代码你可以免费用于任何途径，但如果你发现了错误或不足之处或你完善了它，请写信告诉我 zhangyuan5558@yahoo.com.cn。
查看全文

相关阅读:
C/C++ 语言中的表达式求值
 C++中delete与delete[]
特殊数据类型成员变量的初始化
 C++中的new
C++数组名解析
 C++中的位拷贝和值拷贝
 while(cin>>s)退出问题
 C++继承中的虚析构函数
 C++的IO标准库介绍
 C++一道面试题（atexit）

原文地址：https://www.cnblogs.com/hiloves/p/1784396.html