那些遇到过的问题

如何使用 Fail2Ban 禁止 Syn Flood 攻击?

Nee*_*eel 5 debian firewall iptables fail2ban syn

在我的日志中,我经常看到这样的 ip 掉线:

> Oct 30 17:32:24 IPTables Dropped: IN=eth0 OUT=
> MAC=04:01:2b:bd:b0:01:4c:96:14:ff:df:f0:08:00 SRC=62.210.94.116
> DST=128.199.xxx.xxx LEN=40 TOS=0x00 PREC=0x00 TTL=244 ID=45212
> PROTO=TCP SPT=51266 DPT=5900 WINDOW=1024 RES=0x00 SYN URGP=0
> 
> Oct 30 17:29:57 Debian kernel: [231590.140175] IPTables Dropped:
> IN=eth0 OUT= MAC=04:01:2b:bd:b0:01:4c:96:14:ff:ff:f0:08:00
> SRC=69.30.240.90 DST=128.199.xxx.xxx LEN=40 TOS=0x00 PREC=0x00 TTL=245
> ID=12842 DF PROTO=TCP SPT=18534 DPT=8061 WINDOW=512 RES=0x00 SYN
> URGP=0
Run Code Online (Sandbox Code Playgroud)

从上面,我假设这些是我的 IpTables 规则丢弃的 Syn flood。这是我在 iptables 中为 Syn 所拥有的(虽然不确定这些规则中的哪一个会删除上面的规则):

# Drop bogus TCP packets
iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP

# --- Common Attacks: Null packets, XMAS Packets and Syn-Flood Attack ---
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
Run Code Online (Sandbox Code Playgroud)

在 Fail2ban 中,我没有在filter.d文件夹中看到任何针对 Syn 攻击的特定过滤器。我的问题是:

1) 我是否只是忽略了上面的日志,而不用担心为这些设置一个 Fail2Ban 过滤器,因为它在互联网上并且总是会有脚本小子在做这些?

2)由于Fail2ban基于iptables日志工作,有没有办法在我的服务器上禁止上述Syn尝试?

这是我对过滤器的蹩脚尝试,但它不起作用。不确定它是否有效:

[Definition]
failregex = ^<HOST> -.*IPTables Dropped:.*SYN URGP=0
ignoreregex =
Run Code Online (Sandbox Code Playgroud)

我正在使用 Debian + Nginx

Nee*_*eel 5

我为此想出了另一个解决方案,到目前为止它似乎有效。基本上,我编写了一个过滤器来扫描日志并阻止所有因各种原因在给定findtime. 因此,此过滤器将阻止因 Syn、Xmas 攻击、端口扫描等而被丢弃的 IP - 无论是在您的 iptables 规则中列出的任何内容。换句话说,它会出于各种原因阻止那些不断出现在 iptables 阻止列表中的内容。

监狱.local

[iptables-dropped]

enabled = true
filter = iptables-dropped
banaction = iptables-allports
port = all
logpath = /var/log/messages
bantime = 1800
maxretry = 3
Run Code Online (Sandbox Code Playgroud)

过滤器:iptables-dropped.conf

[Definition]
failregex = IPTables Dropped: .* SRC=<HOST>
ignoreregex =
Run Code Online (Sandbox Code Playgroud)

确保在 iptables 规则中记录这样丢弃的 IP,以便上述过滤器工作:

# log iptables denied calls (access via 'dmesg' command) to /var/log/messages file
iptables -N LOGGING
iptables -A INPUT -j LOGGING
iptables -A LOGGING -m limit --limit 5/min -j LOG --log-prefix "IPTables Dropped: " --log-level 4
iptables -A LOGGING -j DROP
Run Code Online (Sandbox Code Playgroud)

以上似乎对我有用。

归档时间:

查看次数:

8945 次

最近记录:

5 年,7 月 前
相关归档
好的 1U 机架式防火墙 11
Windows 防火墙 - 大量阻止 IP 地址范围 - 性能考虑? 9
linux-vserver 中的 Apache 无法启动,无法创建套接字 8
从官方发行版安装服务器应用程序更好,还是应该下载并安装(和管理)我自己的版本? 6
如何通过 sudo 对不同用户使用 etckeeper 并在提交消息中使用正确的用户? 5
如何在 Cisco ASA 5506-X 上的接口之间允许 UDP 广播 5
估计 resize2fs 收缩所需的时间 5
我如何找到 apt-get 安装属于一个包的文件的位置 4
带有 IP 计费的 Linux 路由器和防火墙 2
从管理服务器初始化 kadmin 接口时出现 Kerberos 错误 2
难疑归档
如何在批处理文件中睡觉? 167
你能帮我规划容量吗? 139
如何使用 nginx proxy_pass 删除路径 128
Windows Server 重启/关闭历史记录 100
如何让 bash 脚本在执行之前打印出每个命令? 95
你最喜欢的开源工具是什么? 71
本地可以生成SSL证书,为什么还要购买? 59
使用 MSI 文件的企业优势 59
在 FreeBSD 系统上检查 OpenSSH 版本和更新说明 57
评估雷击后的设备损坏 - 我是否应该计划更多? 56