Cara menangani serangan penafian perkhidmatan pada pelayan Linux
Penolakan Perkhidmatan (DoS) ialah kaedah serangan yang menghalang pelayan daripada menyediakan perkhidmatan biasa dengan menghantar sejumlah besar permintaan kepada pelayan sasaran atau mengeksploitasi kelemahan. . Sebagai salah satu sistem pelayan yang paling biasa digunakan dalam persekitaran rangkaian, pelayan Linux juga merupakan salah satu sasaran penggodam yang kerap. Artikel ini akan menerangkan cara menangani serangan penafian perkhidmatan pada pelayan Linux dan memberikan beberapa contoh kod.
1. Konfigurasikan tembok api rangkaian
Barisan pertahanan pertama untuk pelayan Linux ialah tembok api rangkaian, yang boleh dikonfigurasikan menggunakan alat seperti iptables. Dengan mengkonfigurasi tembok api rangkaian, anda boleh menyekat akses kepada alamat IP tertentu atau segmen alamat IP, atau menyekat akses kepada protokol rangkaian tertentu tertentu. Kod sampel berikut menunjukkan cara mengkonfigurasi iptables untuk menyekat akses kepada julat alamat IP tertentu:
# 允许所有流量通过 iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT # 清空规则链 iptables -F iptables -X # 允许本地回环 iptables -A INPUT -i lo -j ACCEPT # 允许已建立的连接通过 iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT # 允许某个IP地址段的访问 iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT # 拒绝所有其他的流量 iptables -P INPUT DROP
Apabila mengkonfigurasi tembok api rangkaian, anda perlu mempertimbangkan trafik biasa yang diperlukan oleh pelayan dan mengkonfigurasinya dengan sewajarnya berdasarkan situasi sebenar.
2. Konfigurasi tembok api perisian
Selain tembok api rangkaian, anda juga boleh menggunakan tembok api perisian untuk meningkatkan keselamatan pelayan. Firewall perisian biasa termasuk Fail2Ban dan ModSecurity. Fail2Ban boleh melarang sementara capaian daripada alamat IP tertentu dalam tempoh masa tertentu berdasarkan peraturan yang dikonfigurasikan untuk mencegah peretasan kekerasan atau serangan berniat jahat. ModSecurity ialah tembok api aplikasi web yang boleh menyekat kemungkinan serangan dengan menentukan peraturan. Berikut ialah contoh konfigurasi untuk Fail2Ban:
[DEFAULT] bantime = 3600 findtime = 600 maxretry = 5 [sshd] enabled = true port = ssh filter = sshd logpath = /var/log/auth.log
Dalam konfigurasi sampel di atas, Fail2Ban akan memantau fail log perkhidmatan sshd dan melarang sementara akses daripada alamat IP tersebut selepas lebih daripada 5 log masuk gagal dalam masa 10 minit.
3. Konfigurasikan sistem perlindungan DoS
Untuk menangani serangan penafian perkhidmatan, anda boleh mengkonfigurasi sistem perlindungan DoS khas untuk memantau trafik pelayan dan menapis permintaan yang tidak normal atau berniat jahat. Sistem perlindungan DoS biasa termasuk ModEvasive dan DOSARrest. Berikut ialah contoh konfigurasi ModEvasive:
<IfModule mod_evasive24.c> DOSHashTableSize 3097 DOSPageCount 5 DOSSiteCount 100 DOSPageInterval 2 DOSSiteInterval 1 DOSBlockingPeriod 10 DOSLogDir "/var/log/httpd/modevasive" <IfModule mod_ssl.c> DOSBlockingList "/var/log/httpd/mod_evasive/blocked_ips_ssl.db" </IfModule> <IfModule !mod_ssl.c> DOSBlockingList "/var/log/httpd/mod_evasive/blocked_ips_nonssl.db" </IfModule> </IfModule>
Dalam konfigurasi sampel di atas, ModEvasive akan menyekat secara automatik apabila lebih daripada 5 permintaan akses berlaku dalam masa 2 saat atau lebih daripada 100 permintaan akses berlaku daripada alamat IP yang sama dalam masa 1 saat alamat IP ini berlangsung selama 10 saat.
Ringkasan
Untuk melindungi pelayan Linux daripada serangan penafian perkhidmatan, adalah perlu untuk menggunakan pelbagai cara seperti tembok api rangkaian, tembok api perisian dan sistem perlindungan DoS. Konfigurasi yang betul dan penggunaan mekanisme perlindungan ini boleh melindungi pelayan secara berkesan daripada serangan penafian perkhidmatan.
Di atas ialah pengenalan kepada cara menangani serangan penafian perkhidmatan pada pelayan Linux, dan menyediakan beberapa contoh konfigurasi. Harap ini membantu dengan keselamatan pelayan anda.
Atas ialah kandungan terperinci Cara menangani serangan penafian perkhidmatan pada pelayan Linux. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!