WEB开发网
开发学院网络安全防火墙 动态iptables防火墙dynfw 阅读

动态iptables防火墙dynfw

 2006-04-03 12:36:22 来源:WEB开发网   
核心提示: 阻止攻击 我马上采取行动,加载我的防火墙启动脚本并使用vi对 iptables 规则进行编辑,动态iptables防火墙dynfw(2),来阻塞这些Bob发出的恶意攻击数据的源地址的数据报,大约一分钟以后我找到了在防火墙启动脚本中添加新的DROP规则的位置,因此阻塞Bob的攻击将变为确定其

阻止攻击

我马上采取行动,加载我的防火墙启动脚本并使用vi对 iptables 规则进行编辑,来阻塞这些Bob发出的恶意攻击数据的源地址的数据报。大约一分钟以后我找到了在防火墙启动脚本中添加新的DROP规则的位置,我马上添加了新的规则并重新启动了防火墙。很快防火墙发挥了作用,Bob的攻击得到了遏制。现在看起来我成功的击溃了Bob的攻击,可是不久网络值班电话又响了起来,原来是客户发现网络不可用而打过来的投诉电话。可是更加糟糕的是几分钟以后我注意到我的Internet连接线路又开始出现严重阻塞。我仔细察看原来是Bob使用了新的IP地址进行攻击行动。我只好不得不再次修改防火墙启动脚本来阻止它的攻击。我就这样一直在Bob的屁股后面疲于奔命。

问题出在哪里呢?虽然我建立了功能完备的、满足安全需求的防火墙系统并且快速的发现了网络出现问题的原因,但是我却不能在第一时间内对我的防火墙规则进行调整来响应Bob的攻击。当网络被攻击时,被动慌乱地快速对攻击做出防范反应,对防火墙规则配置脚本进行修改不但是压力巨大,而且效率低下。

ipdrop

如果能创建一个特殊的"ipdrop"脚本,其被设计为能方便地插入一个规则来阻塞指定的IP,那么将上面的工作将非常容易。通过该脚本阻塞某个IP将是非常容易的工作,只需要几秒钟就可以实现。而且通过该脚本还可以防止手工加入规则时容易出现的错误。因此阻塞Bob的攻击将变为确定其攻击源地址。然后通过如下命令:

# ipdrop 129.24.8.1 on

IP 129.24.8.1 drop on.

ipdrop脚本将立即阻塞129.24.8.1。通过使用该脚本能显著地提高你的防卫能力。下面就是ipdrop脚本的实现:

The ipdrop bash script

上一页  1 2 3 4 5 6  下一页

Tags:动态 iptables 防火墙

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接