当前位置：首页 > news >正文

Linux防火墙（7）

news 2025/12/17 6:37:15

实验目的

通过该实验了解Linux防火墙iptables实现原理，掌握iptables基本使用方法，能够利用iptables对操作系统进行加固。

预备知识
基本原理

netfilter/iptables（简称为iptables）组成Linux平台下的包过滤防火墙，具有完成封包过滤、封包重定向和网络地址转换（NAT）等功能。netfilter是Linux 核心中一个通用架构，它提供了一系列的"表"(tables)，每个表由若干"链"(chains)组成，而每条链中可以有一条或数条规则(rule)组成。可以这样来理解，netfilter是表的容器，表是链的容器，而链又是规则的容器。

规则（rules）其实就是网络管理员预定义的条件，规则一般的定义为“如果数据包头符合这样的条件，就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中，这些规则分别指定了源地址、目的地址、传输协议（如TCP、UDP、ICMP）和服务类型（如HTTP、FTP和SMTP）等。当数据包与规则匹配时，iptables就根据规则所定义的方法来处理这些数据包，如放行（accept）、拒绝（reject）和丢弃（drop）等。配置防火墙的主要工作就是添加、修改和删除这些规则。

iptables内置了4个表，即filter表、nat表、mangle表和raw表，分别用于实现包过滤，网络地址转换、包重构（修改）和数据跟踪处理。

链（chains）是数据包传播的路径，每一条链其实就是众多规则中的一个检查清单，每一条链中可以有一条或数条规则。当一个数据包到达一个链时，iptables就会从链中第一条规则开始检查，看该数据包是否满足规则所定义的条件。如果满足，系统就会根据该条规则所定义的方法处理该数据包；否则iptables将继续检查下一条规则，如果该数据包不符合链中任一条规则，iptables就会根据该链预先定义的默认策略来处理数据包。

iptables采用“表”和“链”的分层结构。在REHL4中是三张表五个链。现在REHL5成了四张表五个链了如下：

系统缺省的表为"filter"，该表中包含了INPUT、FORWARD和OUTPUT 3个链。每一条链中可以有一条或数条规则，每一条规则都是这样定义的“如果数据包头符合这样的条件，就这样处理这个数据包”。当一个数据包到达一个链时，系统就会从第一条规则开始检查，看是否符合该规则所定义的条件: 如果满足,系统将根据该条规则所定义的方法处理该数据包；如果不满足则继续检查下一条规则。最后，如果该数据包不符合该链中任一条规则的话，系统就会根据该链预先定义的策略(policy)来处理该数据包。

数据包在filter表中的流程为：有数据包进入系统时，系统首先根据路由表决定将数据包发给哪一条链，则可能有三种情况：

1.如果数据包的目的地址是本机，则系统将数据包送往INPUT链，如果通过规则检查，则该包被发给相应的本地进程处理；如果没通过规则检查，系统就会将这个包丢掉；

2.如果数据包的目的地址不是本机，也就是说，这个包将被转发，则系统将数据包送往FORWARD链，如果通过规则检查，则该包被发给相应的本地进程处理；如果没通过规则检查，系统就会将这个包丢掉；

3.如果数据包是由本地系统进程产生的，则系统将其送往OUTPUT链，如果通过规则检查，则该包被发给相应的本地进程处理；如果没通过规则检查，系统就会将这个包丢掉。

iptables执行流程图

如下图所示，iptables在处理数据包时，将按照下面流程执行：

①当一个数据包进入网卡时，它首先进入PREROUTING链，内核根据数据包目的IP判断是否需要转送出去。

②如果数据包就是进入本机的，它就会沿着图向下移动，到达INPUT链。数据包到了INPUT链后，任何进程都会收到它。本机上运行的程序可以发送数据包，这些数据包会经过OUTPUT链，然后到达POSTROUTING链输出。

③如果数据包是要转发出去的，且内核允许转发，数据包就会如图所示向右移动，经过FORWARD链，然后到达POSTROUTING链输出。

iptables表、链说明

规则表

1.filter表——三个链：INPUT、FORWARD、OUTPUT。

作用：过滤数据包

内核模块：iptables_filter

2.Nat表——三个链：PREROUTING、POSTROUTING、OUTPUT

作用：用于网络地址转换（IP、端口）

内核模块：iptable_nat

3.Mangle表——五个链：PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD

作用：修改数据包的服务类型、TTL、并且可以配置路由实现QOS

内核模块：iptable_mangle

4.Raw表——两个链：OUTPUT、PREROUTING

作用：决定数据包是否被状态跟踪机制处理

内核模块：iptable_raw

规则链

1.INPUT——进来的数据包应用此规则链中的策略；

2.OUTPUT——外出的数据包应用此规则链中的策略；

3.FORWARD——转发数据包时应用此规则链中的策略；

4.PREROUTING——对数据包作路由选择前应用此链中的规则；

5.POSTROUTING——对数据包作路由选择后应用此链中的规则。

规则表之间的优先顺序：

规则表之间按照Raw、mangle、nat、filter的顺序进行过滤，具体分三种情况：

第一种情况：入站数据流向

从外界到达防火墙的数据包，先被PREROUTING规则链处理（是否修改数据包地址等），之后会进行路由选择（判断该数据包应该发往何处），如果数据包的目标主机是防火墙本机（比如说Internet用户访问防火墙主机中的web服务器的数据包），内核将其传给INPUT链进行处理（决定是否允许通过等），通过以后再交给系统上层的应用程序（比如Apache服务器）进行响应。

第二种情况：转发数据流向

来自外界的数据包到达防火墙后，首先被PREROUTING规则链处理，之后会进行路由选择，如果数据包的目标地址是其它外部地址（比如局域网用户通过网关访问QQ站点的数据包），则内核将其传递给FORWARD链进行处理（是否转发或拦截），然后再交给POSTROUTING规则链（是否修改数据包的地址等）进行处理。

第三种情况：出站数据流向

防火墙本机向外部地址发送的数据包（比如在防火墙主机中测试公网DNS服务器时），首先被OUTPUT规则链处理，之后进行路由选择，然后传递给POSTROUTING规则链（是否修改数据包的地址等）进行处理。

iptables语法

语法：iptables [-t table] command [match] [-j target/jump]

1）[-t table] 指定规则表

-t 参数用来，内建的规则表有三个，分别是：nat、mangle 和 filter，当未指定规则表时，则一律视为是 filter。个规则表的功能如下：

nat：此规则表拥有 PREROUTING 和 POSTROUTING 两个规则链，主要功能为进行一对一、一对多、多对多等网址转换工作（SNAT、DNAT），这个规则表除了作网址转换外，请不要做其它用途。

mangle：此规则表拥有 PREROUTING、FORWARD 和 POSTROUTING 三个规则链。除了进行网址转换工作会改写封包外，在某些特殊应用可能也必须去改写封包（TTL、TOS）或者是设定markMARK（将封包作记号，以进行后续的过滤），这时就必须将这些工作定义在 mangle 规则表中，由于使用率不高，这里不讨论 mangle 的用法。

filter：这个规则表是默认规则表，拥有 INPUT、FORWARD 和 OUTPUT 三个规则链，这个规则表顾名思义是用来进行封包过滤的处理动作（例如：DROP、 LOG、 ACCEPT 或 REJECT），需要将基本规则都建立在此规则表中。

2）command 常用命令列表：

命令：-A, --append；范例：iptables -A INPUT ...；说明：新增规则到某个规则链中，该规则将会成为规则链中的最后一条规则。

命令：-D, --delete；范例：iptables -D INPUT --dport 80 -j DROP，iptables -D INPUT 1；说明：从某个规则链中删除一条规则，可以输入完整规则，或直接指定规则编号加以删除。

命令：-R, --replace；范例：iptables -R INPUT 1 -s 192.168.0.1 -j DROP；说明：取代现行规则，规则被取代后并不会改变顺序。

命令：-I, --insert；范例：iptables -I INPUT 1 --dport 80 -j ACCEPT；说明：插入一条规则，原本该位置上的规则将会往后移动一个顺位。

命令：-L, --list；范例1 ：iptables -L INPUT，说明：列出某规则链中的所有规则；范例2：iptables -t nat -L ，说明：列出nat表所有链中的所有规则。

命令：-F, --flush；范例：iptables -F INPUT；说明：删除filter表中INPUT链的所有规则。

命令：-Z, --zero；范例：iptables -Z INPUT；说明：将封包计数器归零。封包计数器是用来计算同一封包出现次数，是过滤阻断式攻击不可或缺的工具。

命令：-N, --new-chain；范例：iptables -N allowed；说明：定义新的规则链。

命令：-X, --delete-chain；范例：iptables -X allowed；说明：删除某个规则链。

命令： -P, --policy；范例：iptables -P INPUT DROP；说明：定义过滤政策。也就是未符合过滤条件之封包，默认的处理方式。

命令：-E, --rename-chain；范例：iptables -E allowed disallowed；说明：修改某自定义规则链的名称。

3）[match] 常用封包匹配参数

参数：-p, --protocol；范例：iptables -A INPUT -p tcp；说明：匹配通讯协议类型是否相符，可以使用 ! 运算符进行反向匹配，例如：-p !tcp，意思是指除 tcp 以外的其它类型，如udp、icmp等；如果要匹配所有类型，则可以使用 all 关键词，例如：-p all。

参数：-s, --src, --source；范例：iptables -A INPUT -s 192.168.1.1；说明：用来匹配封包的来源 IP，可以匹配单机或网络，匹配网络时请用数字来表示子网掩码，例如：-s 192.168.0.0/24，匹配 IP 时可以使用 ! 运算符进行反向匹配，例如：-s !192.168.0.0/24。

参数：-d, --dst, --destination；范例：iptables -A INPUT -d 192.168.1.1；说明：用来匹配封包的目的地 IP，设定方式同上。

参数：-i, --in-interface；范例：iptables -A INPUT -i eth0；说明：用来匹配封包是从哪块网卡进入，可以使用通配字符 + 来做大范围匹配，例如：-i eth+ 表示所有的 ethernet 网卡，也可以使用 ! 运算符进行反向匹配，例如：-i !eth0。

参数：-o, --out-interface；范例：iptables -A FORWARD -o eth0；说明：用来匹配封包要从哪块网卡送出，设定方式同上。

参数：--sport, --source-port；范例：iptables -A INPUT -p tcp --sport 22；说明：用来匹配封包的源端口，可以匹配单一端口，或是一个范围，例如：--sport 22:80表示从 22 到 80 端口之间都算是符合条件，如果要匹配不连续的多个端口，则必须使用 --multiport 参数，详见后文。匹配端口号时，可以使用 ! 运算符进行反向匹配。

参数：--dport, --destination-port；范例：iptables -A INPUT -p tcp --dport 22；说明：用来匹配封包的目的地端口号，设定方式同上

参数：--tcp-flags；范例：iptables -p tcp --tcp-flags SYN,FIN,ACK SYN；说明：匹配 TCP 封包的状态标志，参数分为两个部分，第一个部分列举出想匹配的标志，第二部分则列举前述标志中哪些有被设置，未被列举的标志必须是空的。TCP 状态标志包括：SYN（同步）、ACK（应答）、FIN（结束）、RST（重设）、URG（紧急）、PSH（强迫推送）等均可使用于参数中，除此之外还可以使用关键词 ALL 和 NONE 进行匹配。匹配标志时，可以使用 ! 运算符行反向匹配。

参数：--syn；范例：iptables -p tcp --syn；说明：用来表示TCP通信协议中，SYN位被打开，而ACK与FIN位关闭的分组，即TCP的初始连接，与 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN 的作用完全相同，如果使用 !运算符，可用来匹配非要求连接封包。

参数：-m multiport --source-port；范例：iptables -A INPUT -p tcp -m multiport --source-port 22,53,80,110；说明：用来匹配不连续的多个源端口，一次最多可以匹配 15 个端口，可以使用 ! 运算符进行反向匹配。

参数：-m multiport --destination-port；范例：iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80,110；说明：用来匹配不连续的多个目的地端口号，设定方式同上。

参数：-m multiport --port；范例：iptables -A INPUT -p tcp -m multiport --port 22,53,80,110；说明：这个参数比较特殊，用来匹配源端口和目的端口号相同的封包，设定方式同上。注意：在本范例中，如果来源端口号为 80目的地端口号为 110，这种封包并不算符合条件。

参数：--icmp-type；范例：iptables -A INPUT -p icmp --icmp-type 8；说明：用来匹配 ICMP 的类型编号，可以使用代码或数字编号来进行匹配。请打 iptables -p icmp --help 来查看有哪些代码可用。

参数：-m limit --limit；范例：iptables -A INPUT -m limit --limit 3/hour；说明：用来匹配某段时间内封包的平均流量，上面的例子是用来匹配：每小时平均流量是否超过一次 3 个封包。除了每小时平均次外，也可以每秒钟、每分钟或每天平均一次，默认值为每小时平均一次，参数如后： /second、 /minute、/day。除了进行封包数量的匹配外，设定这个参数也会在条件达成时，暂停封包的匹配动作，以避免因骇客使用洪水攻击法，导致服务被阻断。

参数：--limit-burst；范例：iptables -A INPUT -m limit --limit-burst 5；说明：用来匹配瞬间大量封包的数量，上面的例子是用来匹配一次同时涌入的封包是否超过 5 个（这是默认值），超过此上限的封包将被直接丢弃。使用效果同上。

参数：-m mac --mac-source；范例：iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01；说明：用来匹配封包来源网络接口的硬件地址，这个参数不能用在 OUTPUT 和 POSTROUTING 规则链上，这是因为封包要送到网卡后，才能由网卡驱动程序透过 ARP 通讯协议查出目的地的 MAC 地址，所以 iptables 在进行封包匹配时，并不知道封包会送到哪个网络接口去。

参数：--mark；范例：iptables -t mangle -A INPUT -m mark --mark 1；说明：用来匹配封包是否被表示某个号码，当封包被匹配成功时，可以透过 MARK 处理动作，将该封包标示一个号码，号码最大不可以超过 4294967296。

参数：-m owner --uid-owner；范例：iptables -A OUTPUT -m owner --uid-owner 500；说明：用来匹配来自本机的封包，是否为某特定使用者所产生的，这样可以避免服务器使用 root 或其它身分将敏感数据传送出，可以降低系统被骇的损失。可惜这个功能无法匹配出来自其它主机的封包。

参数：-m owner --gid-owner；范例：iptables -A OUTPUT -m owner --gid-owner 0；说明：用来匹配来自本机的封包，是否为某特定使用者群组所产生的，使用时机同上。

参数：-m owner --pid-owner；范例：iptables -A OUTPUT -m owner --pid-owner 78；说明：用来匹配来自本机的封包，是否为某特定进程所产生的，使用时机同上。

参数：m owner --sid-owner；范例：iptables -A OUTPUT -m owner --sid-owner 100；说明：用来匹配来自本机的封包，是否为某特定连接（Session ID）的响应封包，使用时机同上。

参数：-m state --state；范例：iptables -A INPUT -m state --state RELATED,ESTABLISHED；说明：用来匹配连接状态，连接状态共有四种：INVALID、ESTABLISHED、NEW 和 RELATED。

INVALID 表示该封包的连接编号（Session ID）无法辨识或编号不正确。

ESTABLISHED 表示该封包属于某个已经建立的连接。

NEW 表示该封包想要起始一个连接（重设连接或将连接重导向）。

RELATED 表示该封包是属于某个已经建立的连接，所建立的新连接。例如：FTP-DATA 连接必定是源自某个 FTP 连接。

4）[-j target/jump] 常用的处理动作：

-j 参数用来指定要进行的处理动作，常用的处理动作包括：ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、LOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、MARK，分别说明如下：

ACCEPT：将封包放行，进行完此处理动作后，将不再匹配其它规则，直接跳往下一个规则链（natostrouting）。

REJECT：拦阻该封包，并传送封包通知对方，可以传送的封包有几个选择：ICMP port-unreachable、ICMP echo-reply 或是tcp-reset（这个封包会要求对方关闭连接），进行完此处理动作后，将不再匹配其它规则，直接中断过滤程序。范例如下：iptables -A FORWARD -p TCP --dport 22 -j REJECT --reject-with tcp-reset

DROP：丢弃封包不予处理，进行完此处理动作后，将不再匹配其它规则，直接中断过滤程序。

REDIRECT：将封包重新导向到另一个端口（PNAT），进行完此处理动作后，将会继续匹配其它规则。这个功能可以用来实现透明代理或用来保护 web 服务器。例如：iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080

MASQUERADE：改写封包来源 IP 为防火墙 NIC IP，可以指定 port 对应的范围，进行完此处理动作后，直接跳往下一个规则链（manglepostrouting）。这个功能与SNAT 略有不同，当进行 IP 伪装时，不需指定要伪装成哪个 IP，IP会从网卡直接读取，当使用拨号接连时，IP通常是由ISP公司的DHCP 服务器指派的，这个时候 MASQUERADE 特别有用。范例如下：iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 1024-31000

LOG：将封包相关讯息纪录在 /var/log 中，详细位置请查阅 /etc/syslog.conf 配置文件，进行完此处理动作后，将会继续匹配其规则。例如：iptables -A INPUT -p tcp -j LOG --log-prefix "INPUT packets"

SNAT：改写封包来源 IP 为某特定 IP 或 IP 范围，可以指定 port 对应的范围，进行完此处理动作后，将直接跳往下一个规则（mangleostrouting）。范例如下：iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source 194.236.50.155-194.236.50.160:1024-32000

DNAT：改写封包目的地 IP 为某特定 IP 或 IP 范围，可以指定 port 对应的范围，进行完此处理动作后，将会直接跳往下一个规则链（filter:input 或 filter:forward）。范例如下：iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.1-192.168.1.10:80-100

MIRROR：镜射封包，也就是将来源 IP 与目的地 IP 对调后，将封包送回，进行完此处理动作后，将会中断过滤程序。

QUEUE：中断过滤程序，将封包放入队列，交给其它程序处理。通过自行开发的处理程序，可以进行其它应用，例如：计算连接费用等。

RETURN：结束在目前规则链中的过滤程序，返回主规则链继续过滤，如果把自定义规则链看成是一个子程序，这个动作则就相当于提前结束子程序并返回到主程序中。

MARK：将封包标上某个代号，以便提供作为后续过滤的条件判断依据，进行完此处理动作后，将会继续匹配其它规则。范例如下：iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 2

netstat语法

NETSTAT [-a] [-b] [-e] [-n] [-o] [-p proto] [-r] [-s] [-v] [interval]

Netstat命令用于显示各种网络相关信息，如网络连接，路由表，接口状态 (Interface Statistics)，masquerade 连接，多播成员 (Multicast Memberships) 等等。

-a   （all）显示所有选项，默认不显示LISTEN相关

-t   （tcp）仅显示tcp相关选项

-u   （udp）仅显示udp相关选项

-n   拒绝显示别名，能显示数字的全部转化成数字

-l   仅列出有在 Listen (监听) 的服務状态

-p   显示建立相关链接的程序名

-r   显示路由信息，路由表

-e   显示扩展信息，例如uid等

-s   按各个协议进行统计

-c   每隔一个固定时间，执行该netstat命令

提示：LISTEN和LISTENING的状态只有用-a或者-l才能看到

1）列出所有端口（包括监听和未监听的）

列出所有端口 netstat -a

列出所有 tcp 端口 netstat -at

列出所有 udp 端口 netstat -au

2）列出所有处于监听状态的 Sockets

只显示监听端口 netstat -l

只列出所有监听 tcp 端口 netstat -lt

只列出所有监听 udp 端口 netstat -lu

只列出所有监听 UNIX 端口 netstat -lx

3）显示每个协议的统计信息

显示所有端口的统计信息 netstat -s

显示TCP端口的统计信息 netstat -st

显示UDP端口的统计信息 netstat - su

4）在 netstat 输出中显示 PID 和进程名称 netstat -p

netstat -p 可以与其它开关一起使用，就可以添加 “PID/进程名称” 到 netstat 输出中，这样 debugging 的时候可以很方便的发现特定端口运行的程序。

5）在 netstat 输出中不显示主机，端口和用户名（host, port or user）

当不想让主机，端口和用户名显示，使用 netstat -n。将会使用数字代替那些名称。

同样可以加速输出，因为不用进行比对查询。

实验环境

服务器：centos6.3，IP地址：10.1.1.112

测试者：win2003，IP地址随机，可自己查看，在本例中为10.1.1.16

实验步骤一
2013年王小虎同学经过四年的学习，终于从北京某高校毕业了，历经千辛万苦，终于应聘到了北京某大型信息公司，担任网络管理员，负责管理公司的机房与网络，可是网管搞怎么搞，小虎同学有点迷茫了，下班后联系了之前的学长一块吃烧烤，请学长指点迷津……学长喝了一口牛栏山，说：沉住气，Rome was not built in a day，想当好网管，首先学会用iptables这个神器！明天你先学会这几个事情：

1、学会查看系统中iptables中已经有的规则，知道如何关闭和启用这些规则；

2、学会用iptables保护自己的主机，从最简单开始，不让别人用ping到主机或者用ssh访问到主机；

3、学会如何利用iptables防御网络DDos攻击；

4、如果服务器不能关闭ssh，但是又要防止黑客的字典攻击和暴力破解，管理员怎么样用iptables来实现？

你先学会上面四个事情，iptables就算入门了，剩下的下次喝酒告诉你如何用iptables做nat吧。

任务一：学会查看系统中iptables中已经有的规则，掌握如何关闭和启用这些规则

1. 利用本机putty程序登录到centos服务器中；

2. 利用windows操作机中桌面上的“putty.exe”程序，登录centos服务器（IP地址：10.1.1.112，用户名：root，密码：123456）

如果出现证书信任的提示，选择“是”，可以看到能够登录到centos主机，输入给定的用户名与密码，登录进，如下所示

3. 输入命令，查看iptables状态；

#service iptables status      查看iptables状态

由图中可以看到在表filter中有三个chain，分别为INPUT、FORWARD和OUTPUT。

4. 关闭10.1.1.112上centos服务器的iptables防火墙，如下：

#service iptables stop

5. 保存并查看10.1.1.112服务器上iptables规则

在iptables中添加的规则即时生效，但重启后规则将会丢失，因此需要保存规则，以便重启时重新加载。

#/etc/init.d/iptables save

实验步骤二
学会用iptables保护自己的主机，不让别人用ping

1、清空centos主机中iptables规则：

#iptables -F

2、登录到windows操作机中，利用ping命令访问10.1.1.112；

3、在主机centos中，加入对应的规则对centos服务器进行加固，使windows操作机中的无法ping通centos主机。在主机centos中，加入下列规则，并查看。

#iptables -A INPUT -p icmp -j DROP

发现规则已经生效，无法ping通centos：

命令说明如下：

-A INPUT   #表示在链INPUT中增加一条规则；

-p icmp   #p指protocol（协议），指对icmp协议进行操作；

-j DROP   #指动作为DROP（丢弃）。

学会REJECT参数，并理解其与DROP两者的区别

在上个任务中，已经使用iptables的DROP处理使windows不能够ping通centos主机；接下来，在centos主机中增加什么样的iptables规则对centos服务器进行加固，能使windows操作机中的ping命令达到下面效果？

现在再试试用REJECT处理。首先，删除刚才所加的规则。

1. 在centos主机中，输入下列命令删除iptables中的规则

# iptables -F

2. 在centos主机中，加入下列新的iptables规则。

#iptables -A INPUT -p icmp -j REJECT

再次用Windows来ping，结果如下所示：

与之前DROP处理不一样，ping操作返回Destination port unreachable。

实验步骤三
如何利用iptables防御网络DDos攻击

1、在centos主机中，输入命令# iptables -F，删除iptables中的规则

2、在windows操作机下下载attack攻击程序

下载地址：http://tools.hetianlab.com/tools/attack/attack.zip

3、双击运行windows操作机运行攻击工具attack.exe对centos发起洪水攻击；

4、利用putty工具登录centos主机，输入命令：netstat -an，观察centos服务器资源与网络相关情况，发现大量对centos服务器10.1.1.112的111端口（rpc端口）的访问。

5、继续输入命令：netstat -st，观察centos服务器TCP统计信息，发现centos服务器短时间收到大量数据包。

6、由此判断，有攻击者进行对端口111（sunrpc）的tcp洪水攻击，并且攻击者伪装了攻击源IP地址，因此对111端口的tcp协议进行iptables规则设置：iptables -A INPUT -p tcp --dport 111 -j DROP，并查看

7、在centos服务器的iptables中输入规则之后，等待2分钟左右（centos回收资源需要一定时间），运行相关查看系统网络信息，观察洪水攻击造成的影响；

8、请一定记住完成上一步之后，关闭windows操作机中的attack命令窗口，停止洪水攻击。

实验步骤四
如何利用iptables的recent模块防御ssh字典攻击

在某服务器应用中，为了远程管理，SSH不能停掉，但是又要防止攻击者的字典攻击，试通过iptables配置，保证SSH的安全。

iptables的recent模块可以根据源地址、目的地址对最近一段时间内经过本机的数据包的情况进行统计，并根据相应的规则执行，命令如下：

--name   #设定列表名称，默认DEFAULT

--rsource   #源地址，此为默认

--rdest #目的地址

--seconds   #指定时间内

--hitcount   #命中次数

--set   #将地址添加进列表，并更新信息，包含地址加入的时间戳

--rcheck #检查地址是否在列表，以第一个匹配开始计算时间

--update   #和rcheck类似，以最后一个匹配计算时间

--remove   #在列表里删除相应地址，后跟列表名称及地址

1. 在centos主机中，输入下列命令删除iptables中的规则：

# iptables -F

2. 依次点击“开始”>>“所有程序”>>“Metasploit”>>“Metasploit Console；打开metasploit界面，等待几分钟出现msf提示符；

3. 在msf提示符下，输入：use auxiliary/scanner/ssh/ssh_login对metasploit 进行配置

在msf auxiliary(ssh_login)提示符下：

a)输入命令：set RHOSTS 10.1.1.112，设置SSH主机地址；

b)输入命令：set PASS_FILE c:/pass.txt，设置字典文件；

c)输入命令：set USERNAME root，设置破解的帐号名；

d)设置完成后输入run命令运行字典攻击

4. 利用putty登录centos服务器，查看系统安全日志信息（/var/log/secure），输入命令：cat /var/log/secure，发现大量相同IP地址登录失败信息，分析可能有人进行ssh暴力破解。

5. 继续输入命令：cat /var/log/secure | grep 10.1.1.16 | wc -l，对该IP地址进行统计，发现来自该IP地址的登录失败次数不停增长。

6. 在centos服务器上利用iptables的recent模块进行主机加固。输入如下命令：

a）iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name SSHPOOL --update --seconds 60 --hitcount 3 -j DROP

b）iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name SSHPOOL --set -j ACCEPT

规则过程分析：模拟一下某个电脑连接本机SSH服务的数据包流程，假设以下数据包是在一小时内到达本机的：

•当这个电脑的第1个SSH包到达本机，规则a检查SSHPOOL列表中这个源IP是否有hitcount，因为是第一个包，显而易见，列表是0，规则a判定这个数据包不必执行DROP，并且也不处理这个数据包，将数据包转给下条规则；

•规则b将这个数据包计入SSHPOOL列表，就是做+1，因为规则中有-j ACCEPT，规则b放行这个包；

•当第2个SSH包到达本机，规则a检查SSHPOOL列表的hitcount，发现没有超过3，于是判定不执行DROP并转给下条规则处理；

•规则b在SSHPOOL中+1，并放行，第2个数据包进入本机；

•第3个数据包过程如上；

•第4个包到达本机，规则a检查SSHPOOL列表中的hitcount，发现是3了已经连接3次了，于是执行DROP，不必再转给下条规则了丢弃该包。