如果是你的电脑在发起伪造IP攻击,说明你的电脑被人家远程控制了(就是说成了人家的肉鸡),并且被利用来攻击其他的电脑。
IP伪装,是Linux系统的一种网络功能,如果一台Linux主机使用IP伪装功能连接到互联网上,那么其他计算机,不论是在同一个局域网上还是通过调制解调器连接,只要连接到这个Linux主机上,就可以与国际互联网相连,即使它们没有获得正式指定的IP地址。这样就可以将一些计算机隐藏在网关后面连接互联网,而不被发现,看起来就像只有一台Linux系统主机与互联网相连。它允许用户扩展IP地址,允许没有注册IP地址的计算机经由Linux主机连接到互联网上。由于可以多人使用一条调制解调器(或网卡)连线来接入互联网,因此降低了上网费用,同时也增加了安全性。从某些方面来看,其功能像是一个防火墙,因为外界网络无法连接非正式分配的IP地址。而其安全功能比数据包过滤式防火墙要强。随着IP地址的减少,IP伪装在网络上的应用会越来越广泛。IP伪装仍处于实验阶段
IP伪装仍然处于实验阶段。但Linux的核心从1.3.x开始已经建立此功能支持。许多个人甚至公司正在使用它,并且获得了满意的效果。现在Linux的核心已经升级到2.2.x,这项技术已趋近完善,但仍在发展中。浏览网页及远端登录(telnet)已经可以在IP伪装上运行,文件传输(FTP)、网络交谈(IRC)及聆听Real Audio可以载入一些相应的模块配合,其它的网络资料控制流(streaming audio),如True Speech及Internet wave也能运行。Ping配合最近可以获得的国际互联网络控制信息协议(ICMP)的升级文件后也能正常运行。
IP伪装支持多种客户端平台
IP伪装在多种不同的 *** 作系统及平台上与客户端机器配合良好,目前,已测试通过的利用IP伪装运行的客户端平台有:Linux,Solaris,Windows 95/98,Windows NT,Windows for Workgroup 3.11(含有TCP/IP包),Windows 3.1(含有Chameleon包),Novel 5.0 Server,OS/2(包括Warp v3),Macintosh OS(含有Mac TCP或Open Transport),DOS(包含NCSA Telnet包),SCO Openserver。从理论上讲,只要 *** 作系统支持TCP/IP或WinSock标准协议,都可以与IP伪装配合使用。
组建网络的硬件/软件配置
用Linux组建一个网络网关是最核心的部分,它是一台普通的计算机,装有Linux *** 作系统,配有两块网卡。一块网卡通过合法的IP地址与Internet连接,另一块网卡连接用于放大数字信号的集线器Hub,Hub可连接由若干台计算机所组成的网络。网络中的计算机不使用合法的IP地址,而使用Internet标准文件RFC1597规定的、公开供用户使用的3个IP地址空间内的IP地址,它们分别是:
A类地址 10.0.0.0~10.255.255.255
B类地址 172.16.0.0~172.31.255.255
C类地址 192.168.0.0~192.168.255.255
用户可根据自己网络中的机器数目选用合理的地址范围。
网关除了开启Linux中的IP伪装来实现网络与Internet的互联外,还开启动态主机配置协议分配DHCPd的功能和WWW代理服务器功能。DHCPd可以自动给网络中的计算机指定IP地址、子网掩码、网关等信息,克服了人工配置TCP/IP的限制,给网络的管理带来了极大的便利。通常WWW代理服务器都设置一个较大的硬盘缓冲区,当有外界的信息通过时,同时也将其保存到缓冲区中,当其他用户再访问相同的信息时,则直接由缓冲区中取出信息传给用户,来提高访问速度。WWW代理服务器功能由Apache软件实现,Apache是Internet上很优秀的代理服务器软件,它有模块化的设计、工作性能稳定、运行速度快等优点。
网络实现的步骤
1)开启IP伪装功能;
2)调试网卡;
3)开启DHCPd功能;
4)安装WWW代理服务器Apache软件;
5)配置网络中的其它计算机,这些计算机可以使用不同的 *** 作系统,如:Windows95/98、Windows NT、UNIX、Novell,根据所使用 *** 作系统的不同进行不同的配置;
6)配置Linux网关的IP转送(Forwarding)方式;
7)测试IP伪装。
如果测试成功,就代表网络已经建成了。
Linux 防止DDOS方法方法一:先说这个简单效果不大的方法,Linux一般是apache做web服务软件,一般来说按照访问习惯全是设置的80端口。你可以改变一下服务端口,编辑httpd.conf文件,Linux下不清楚路径可以
find / -name httpd.conf
然后
vi $path$/httpd.conf
找到里面的
listen:80
更改为
listen:8080
重新启动apache,这样你的站点就运行在8080端口下了。
方法二:,方法一中攻击者如果对你足够关注的话还是会再攻击你的8080端口,所以还是会死得很惨,那么如何更有效的阻止攻击呢。这就要用到iptables了,安装一下iptables然后再配置一下。
iptables下载:
http://www.netfilter.org/downloads.html
下载文件的名字一般是iptables-1.*.*.tar.bz2
下载完后解压缩
tar -xvjf ./iptables-1.*.*.tar.bz2 -C /usr/src
我是解压到了/usr/src里
然后
cd /usr/src/iptables-1.*.*
安装:
/bin/sh -c make
/bin/sh -c make install
可以用iptables -V来检查安装是否正确。
如果有问题用这个命令修复一下
cp ./iptables /sbin
iptables的使用:
安装了iptables后先关闭ICMP服务
iptables -A OUTPUT -p icmp -d 0/0 -j DROP
这个是做什么的呢,最简单直观的说就是你服务器上的ip不能被ping到了,这个能防止一部分攻击。
比如你跟你的ISP联系了知道了ddos的来源ip 200.200.200.1可以用下面这个命令来阻止来自这个ip的数据流
iptables -A INPUT -s 200.200.200.1 -j DROP
说明:这个命令里200.200.200.1/24 200.200.200.* 格式都是有效的。
执行完后你输入命令
iptables -L
会看到下面的结果
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- 200.200.200.1 anywhere
你每输入一个iptables命令都会有个对应的num号,比如上面你执行的这个是第一次执行的那么这个对应的input id就是1,删除这个限制只要
iptables -D INPUT 1就可以了。
因为在DDOS这个过程里很多ip是伪造的,如果你能找到他们的来源的mac地址(你太厉害了,太有关系了)那么你还可以用这个命令来禁止来自这个mac地址的数据流:
iptables -A INPUT --mac-source 00:0B:AB:45:56:42 -j DROP
以上是几个简单应用,关于一些别的应用我下面给出的英文文献里还有,大家可以根据自己的情况来利用iptables防止DDOS攻击。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)