来自 资讯 2021-07-18 03:05 的文章

服务器防护_阿里云高防ip支持更换吗_无限

服务器防护_阿里云高防ip支持更换吗_无限

一位新加入我们基于主机的防火墙管理的客户希望能够检测服务器是否受到恶意软件的攻击。发现这种情况的一种方法是查找并记录未经授权的出站流量。但如何判断交通是否未经授权?在本教程中,您将利用iptables的两个属性:它的规则依赖于顺序,并且它知道连接的状态。(Windows的本机防火墙没有这两个属性,因此这只适用于Linux/UNIX工作负载。)顺序依赖性意味着您可以先设置允许(而不是记录)授权流量的规则。然后,您可以创建更广泛的规则来捕获未经特别授权的任何内容并将其记录下来。连接状态感知使您能够区分允许的出站流量(例如,允许web服务器在已知端口上启动与应用程序服务器的连接,或响应来自负载平衡器的传入请求)和不允许的流量(例如,启动到外部不熟悉IP的连接)公司。)iptables识别的连接类型是新的、已建立的和相关的。新连接和已建立连接是不言而喻的;当现有连接生成新的子连接时,就会发生相关的连接。iptables可以接受、丢弃或拒绝与连接相关的数据包。当使用DROP时,ddos攻击与防御,iptables会在没有响应的情况下丢弃数据包。拒绝将拒绝消息发送回数据包发送方。您不需要对入站规则进行任何更改。对于出站流量,创建一组三条(或更多)规则:1) 一种规则,允许任何类型的连接从您的服务器到您希望它能够启动连接的服务器和端口,而不需要记录日志。在本例中,哪里cc防御好,我允许运行此防火墙策略的服务器与地址为10.*.*或192.168.*的任何其他内部服务器建立任何连接。但您需要将此限制为特定的服务器组和已知的内部端口。下拉IP区域选择器并创建新组:弹出窗口将提示您输入更多信息:这将包括您的服务器启动到其他内部服务器(例如,数据库)的连接。2) 允许从任何相关或已建立的连接到设备的出站流量的规则,而不记录日志。这些是合法的连接,你允许从外部进入,你的盒子正在响应。3) 一个规则,记录由您的设备启动的所有新连接到任何IP。ANY在这里起作用的原因是,您已经使用规则1筛选出了到您自己服务器的新连接,并使用规则2过滤了任何地方的相关或已建立的连接。任何由您的设备启动的到非内部IP的连接都将被记录。其中有些可能没问题,ddos20攻击防御,有些可能需要调查。在我的Amazon Linux测试箱中,防火墙消息被记录到/var/log/messages中,局域网ddos防御,看起来像:3月23日19:16:41 ip-10-244-xx.xx号内核:未授权:IN=OUT=eth0 SRC=10.244。xx.xx号DST=54.65。xx.xx号LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=14528 DF PROTO=TCP SPT=58615 DPT=22窗口=14600 RES=0x00 SYN URGP=0这就是我最后的政策。您还可以向入站和出站添加默认删除规则。如果已经设置了出站连接的规则,则只需设置规则3。不过,请确保您对所有授权流量都有相应的规则;否则,您将收到大量消息,而可能表明存在妥协的流量将在洪水中丢失。现在可以使用日志前缀标记这些消息:…然后在基于日志的ID中编写一个规则来查找日志前缀字符串……当你的安全事件中出现匹配项时会提醒你。然后,cc怎么防御,您需要检查任何被标记为UNAUTHORIZED的消息,看看它是否是合法的通信(并且应该有一个允许它的规则)。当然,防止恶意软件传播的最好方法就是完全阻止未知流量。但是,如果您刚刚开始使用基于主机的防火墙,并希望对网络上发生的事情有更多的了解,这是一种方法。