如果连接到端口,则暂时阻止与主机的连接 X
我有 Linux VPS, 它不断扫描,被一些欺诈性IP地址攻击。 这 VPS - 我只为我服务的私人服务器,而且我是唯一的用户。 此外,我是唯一必须允许连接到它的用户。
我想问你 ServerFault, 评论我的“解决方案”方法问题,并表明我对他有任何问题,因为我没有经验
一般来说。
在我的服务器上我使用
在港口
和
在港口
. 我将两个服务转移到非标准的端口
和
, 防止众所周知的端口粗糙强度的愚蠢攻击。 至于扫描端口的问题,我决定为标准端口创建一个“陷阱”。
(telnetd),
(sshd),
(pop3),
(httpd) 如果防火墙检测到某人想要连接到这些端口,他必须阻止启动包
任何
在下面的源主机的进一步连接 24 几个小时,即使是港口
和
. 为此,我正在努力使用
模块
:
根据我的测试,似乎甚至有效,但有
更好的
执行我想要做什么的方法?
我想问你 ServerFault, 评论我的“解决方案”方法问题,并表明我对他有任何问题,因为我没有经验
iptables
一般来说。
在我的服务器上我使用
dovecot
在港口
993
和
sshd
在港口
22
. 我将两个服务转移到非标准的端口
X
和
Y
, 防止众所周知的端口粗糙强度的愚蠢攻击。 至于扫描端口的问题,我决定为标准端口创建一个“陷阱”。
23
(telnetd),
22
(sshd),
110
(pop3),
80
(httpd) 如果防火墙检测到某人想要连接到这些端口,他必须阻止启动包
任何
在下面的源主机的进一步连接 24 几个小时,即使是港口
X
和
Y
. 为此,我正在努力使用
recent
模块
iptables
:
iptables -I INPUT -m state --state NEW -m recent --update --seconds 86400 --hitcount 1 -j DROP
iptables -I INPUT -p tcp -m tcp --dport 80 -m state --state NEW -m recent --set -j DROP
iptables -I INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set -j DROP
iptables -I INPUT -p tcp -m tcp --dport 23 -m state --state NEW -m recent --set -j DROP
iptables -I INPUT -p tcp -m tcp --dport 110 -m state --state NEW -m recent --set -j DROP
根据我的测试,似乎甚至有效,但有
更好的
执行我想要做什么的方法?
没有找到相关结果
已邀请:
1 个回复
帅驴
赞同来自:
, 在用户空间中有效,并在核心的消息日志上运行), 它必须非常有效。
然而,请记住,您在这里有严重的攻击类型“未能维持”的潜力。 攻击者可以发送 SYN 使用这些陷阱端口中的任何一个伪造源地址并阻止这些IP地址。 发送足够的包来阻止大多数互联网,它不会非常困难。 您可能希望考虑您通常用于访问服务器的任何地址的白色列表的显式添加。
如果输入您通常用于访问服务器的IP地址的白色列表是不合适的,我认为它不会达到这条路径。