Linux サーバーに対するサービス拒否攻撃に対処する方法

Linux サーバーに対するサービス拒否攻撃に対処する方法

サービス拒否攻撃 (Denial of Service、DoS) は、次のような攻撃の一種です。対象サーバーへの大量リクエストや脆弱性悪用など、サーバーが正常なサービスを提供できないようにする攻撃手法。 Linux サーバーは、ネットワーク環境で最も一般的に使用されるサーバー システムの 1 つであるため、ハッカーの頻繁な標的にもなります。この記事では、Linux サーバーに対するサービス拒否攻撃に対処する方法を説明し、いくつかのコード例を示します。

1. ネットワーク ファイアウォールの構成

Linux サーバーの防御の第一線はネットワーク ファイアウォールであり、iptables などのツールを使用して構成できます。ネットワーク ファイアウォールを構成すると、特定の IP アドレスまたは IP アドレス セグメントへのアクセスを制限したり、特定のネットワーク プロトコルへのアクセスを制限したりできます。次のサンプル コードは、特定の IP アドレス セグメントへのアクセスを制限するように iptables を構成する方法を示しています。

# 允许所有流量通过
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

# 清空规则链
iptables -F
iptables -X

# 允许本地回环
iptables -A INPUT -i lo -j ACCEPT

# 允许已建立的连接通过
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# 允许某个IP地址段的访问
iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT

# 拒绝所有其他的流量
iptables -P INPUT DROP

ネットワーク ファイアウォールを構成するときは、サーバーが必要とする通常のトラフィックを考慮し、それに基づいて適切に構成する必要があります。実際の状況。

2. ソフトウェア ファイアウォールの構成

ネットワーク ファイアウォールに加えて、ソフトウェア ファイアウォールを使用してサーバーのセキュリティを強化することもできます。一般的なソフトウェア ファイアウォールには、Fail2Ban や ModSecurity などがあります。 Fail2Ban は、ブルート フォース クラッキングや悪意のある攻撃を防ぐために、設定されたルールに基づいて、特定の IP アドレスからのアクセスを一定期間一時的に禁止できます。 ModSecurity は、ルールを定義することで潜在的な攻撃をブロックできる Web アプリケーション ファイアウォールです。以下は Fail2Ban の設定例です。

[DEFAULT]
bantime = 3600
findtime = 600
maxretry = 5

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log

上記の設定例では、Fail2Ban は sshd サービスのログ ファイルを監視し、10 回以内に 5 回を超えてログインに失敗した場合、その IP アドレスからの IP アドレスを一時的に禁止します。分。アクセス。

3. DoS 保護システムの構成

サービス拒否攻撃に対処するために、サーバー トラフィックを監視し、異常または悪意のあるリクエストをフィルターで除外する特別な DoS 保護システムを構成できます。一般的な DoS 防御システムには、ModEvasive や DOSarrest などがあります。以下は ModEvasive の設定例です:

<IfModule mod_evasive24.c>
    DOSHashTableSize    3097
    DOSPageCount        5
    DOSSiteCount        100
    DOSPageInterval     2
    DOSSiteInterval     1
    DOSBlockingPeriod   10
    DOSLogDir           "/var/log/httpd/modevasive"

    <IfModule mod_ssl.c>
        DOSBlockingList     "/var/log/httpd/mod_evasive/blocked_ips_ssl.db"
    </IfModule>
    <IfModule !mod_ssl.c>
        DOSBlockingList     "/var/log/httpd/mod_evasive/blocked_ips_nonssl.db"
    </IfModule>
</IfModule>

上記の設定例では、ModEvasive は 2 秒以内に 5 件を超えるアクセス要求、または 1 秒以内に同じ IP アドレスから 100 件を超えるアクセス要求を受け取ります。 IP アドレスへのアクセスは 10 秒間自動的にブロックされます。

概要

Linux サーバーをサービス妨害攻撃から保護するには、ネットワーク ファイアウォール、ソフトウェア ファイアウォール、DoS 防御システムなどの複数の手段を総合的に使用する必要があります。これらの保護メカニズムを適切に構成して使用すると、サービス拒否攻撃からサーバーを効果的に保護できます。

上記は、Linux サーバーに対するサービス拒否攻撃に対処する方法を紹介し、いくつかの構成例を示しています。これがサーバーのセキュリティに役立つことを願っています。

以上がLinux サーバーに対するサービス拒否攻撃に対処する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。