CubieTruck SSH SYN Flood 分析

相對於 HTTP,SSH的SYNC Flood也相對比較簡單,因為SSH一旦建立就很少斷線,不像一個網頁裡面含有十幾個連線,如果沒有使用Keep-alive機制,那就意味著要開啟十幾個HTTP連線來取得資料。

所以沒有懸念地,我們還是請出 iptables 大神來,SSH 的 Port 假定是預設的 22,至於每分鐘幾次連線,我想依照個人喜好去修改吧,反正不是常常建立 SSH 連線的,相對的這個方法可以擋掉一些用字典式攻擊密碼的連線。

#iptables -I INPUT 1 -p tcp --dport 22 -m state --state NEW -m recent --name ssh --update --seconds 60 --hitcount 3 -j REJECT
#iptables -I INPUT 2 -p tcp --dport 22 -m state --state NEW -m recent --name ssh --set

上面兩行和之前的http寫法很相像,只是port換成SSH 22 port而已。告訴 iptables 每分鐘如果建立超過 4個新連線(含SYN Flag)就不要處理了,這樣就可以擋掉SSH SYN Flood。

這一講,我們提到很多SYN Flood的攻擊方式,包括HTTP/SSH SYNC Flood,以及基本的防禦方法。這算結束了嘛?我想這才是開始而已吧!

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *