51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

用iptables限制黑客破解密码

作者:高张远瞩
运维 系统运维
iptables 是与最新的 2.6.x 版本Linux 内核集成的 IP 信息包过滤系统。每天使用iptables,我现在才知道还能拿他来限制黑客,来随文章看看怎么做的!?

iptables限制黑客我使用了下,效果不错,你们可以试试。

  一般使用Linux做服务器都会开SSH服务用于管理,但世界上总有些无聊加无赖的黑客挂上字典暴力猜解你的密码,看着日志中不断增加的稀奇古怪的用户名,我不由的对这些不知疲倦的菜鸟起了敬佩之心。

  好了,不想跟小菜玩了,今天介绍如何使用iptables的recent模块来防止暴力破解密码。

  SSH服务默认端口是22,不过既然是你自己管理,大可改个端口,比如,本例中将SSH端口改成44322,一般只知用工具的菜鸟黑客都只会扫1000以下的端口,但一台计算机拥有65536个端口,随便把你的端口改到哪个犄角旮旯,就可以大幅度增加攻击者的成本。

  下面的代码是直接修改/etc/sysconfig/iptables文件,当然也可以用脚本,脚本只要在每句前面加iptables就行了。

  view sourceprint?01#SSH Login log 注:先记录都是谁要登录我的SSH服务,可以使用tail /var/log/iptables -n 100 | grep "SSH Login"查看最近谁在登录,iptables是日志文件名,日志名需要你自己在syslog中设置

  02-A INPUT -p tcp --dport 44322 --tcp-flags ALL SYN -m state --state NEW -j LOG --log-prefix "[SSH Login]:" --log-level debug

  03#1 Hour allow 5 SSH Login 注:每3600秒(每小时)只限5次连接我的SSH服务,可以自己改时间和次数,在这里你可以用-j DROP来代替-j REJECT,-j REJECT --reject-with tcp-reset是对客户端明确的返回一个重置TCP连接的包,告诉对方我关闭连接了,如果你觉得不需要对攻击者这么好心,就用-j DROP直接丢弃包,让对方傻傻的等回包去。

  04-A INPUT -p tcp --dport 44322 --tcp-flags ALL SYN -m state --state NEW -m recent --name SSH-SYN --update --seconds 3600 --hitcount 5 --rttl -j REJECT --reject-with tcp-reset

  05-A INPUT -p tcp --dport 44322 --tcp-flags ALL SYN -m state --state NEW -m recent --name SSH-SYN --set -j ACCEPT

  06#SSH Service back data filter 注:过滤建立TCP连接后收到的数据包

  07-A INPUT -p tcp --dport 44322 --tcp-flags ALL ACK -m state --state ESTABLISHED -j ACCEPT

  08-A INPUT -p tcp --dport 44322 --tcp-flags ALL ACK,PSH -m state --state ESTABLISHED -j ACCEPT

  09-A INPUT -p tcp --dport 44322 --tcp-flags ALL ACK,FIN -m state --state ESTABLISHED -j ACCEPT

  10-A INPUT -p tcp --dport 44322 --tcp-flags ALL RST -m state --state ESTABLISHED -j ACCEPT

  11-A INPUT -p tcp --dport 44322 --tcp-flags ALL ACK,RST -m state --state ESTABLISHED -j ACCEPT

  12-A INPUT -p tcp --dport 44322 --tcp-flags ALL ACK,URG -m state --state ESTABLISHED -j ACCEPT

  这里使用了iptables的连接跟踪功能,就是-m state --state,因为TCP连接的第一个包只能是SYN包,所以第2、4、5行只允许SYN包进入,这样就防止了其他类型的包来搅局。第4、5行也能防止不伪造源IP地址的SYN FLood攻击。7至12行表示过滤TCP连接已建立后的包的类型,注意--tcp-flags ALL后面是正常的包,比如根本不能出现SYN/FIN包、FIN/RST包、SYN/FIN/PSH包、SYN/FIN/RST包、SYN/FIN/RST/PSH包,一旦出现这样的包说明你被攻击了。

  这里要注意的一点就是,如果服务器管理员在一小时内成功登录了5次之后,他也不能登录了。因为iptables计算的是每小时内建立SSH连接的次数,不管你是猜密码还是正常登录。所以管理员最好做好配置计划。

  本代码经iptables 1.3.5,ipt_recent 0.3.1测试。

通过阅读文章,我们知道了用iptables的recent模块来防止暴力破解密码,很管用,快跟朋友分享吧!

【编辑推荐】

责任编辑:赵鹏 来源: 网络转载
iptables黑客
相关推荐
黑客使用四种方法破解密码
我们会想方设法来保护密码的安全,但是那些骇客们通常会用四种基本的方法得到你的密码,看本文为您解读。

2011-05-19 10:44:01

黑客开始利用云计算服务暴力破解密码
使用云计算服务来替代在公司里设立维护大量服务器,显然对节省企业的成本有利。不过现在看来从云计算服务中受惠最大的恐怕是黑客等群体,黑客们开始利用亚马逊EC2等云计算服务来暴力破解并窃取用户信用卡密码。

2009-11-04 21:46:39

由于账户密码简单 黑客轻松应对密码破解
本文主要向大家讲述的是由于账户密码过于简单,黑客轻松密码破解,以下就是的对这些内容的详细解析,望大家会对其有更好的了解。

2010-09-17 10:39:56

用手触碰电脑即可破解密码
想象一下,仅仅用手触碰笔记本电脑的外壳就能得到这台计算机上存储数据的安全密钥。这项技术的原理在于CPU运算时造成“地”电势的波动。当加密软件使用密钥解密时,监测这种波动就可得到密钥。

2014-08-22 09:39:28

黑客”必用兵器之“密码口令破解篇”
今天我们就了解一下常见的加密方式有哪些常见的密码保存方式有哪些黑客是用什么样的方法来获取和破译目标密码口令的常用的密码破解工具有哪些。

2019-01-10 05:53:57

如何破解密码:识别加密哈希算法
本文安全专家向我们介绍了从密码位序列中识别加密算法的方法。

2010-07-06 10:35:59

安全公司密码大赛 黑客两小时完成破解
日前韩国某家密码相关技术企业举办了一次黑客竞赛,结果黑客仅用两小时就轻松赢取了1千万韩元的奖金。

2009-03-24 09:12:15

黑客专家教你如何设计不易破解密码
每个人总会遭受几次黑客入侵。我们唯一能做的就是管理好密码,逃避可疑的链接。不幸的是,良好的密码设置习惯就像牙线剔牙——你知道它的重要性,但需要持之以恒,付出努力。

2012-11-12 10:48:36

如何制止OpenSSH漏洞?
OpenSSH漏洞可以让黑客轻易绕过身份认证限制并发动强力的攻击破解密码。如何缓解这种威胁?是否应该考虑使用像OpenSSH这样的开源加密软件?

2015-12-30 10:49:31

黑客1小时内破解16位密码 助力密码安全研究
一黑客小组近日尝试破解了14800多个随机密码。每个黑客的成功率在62%到90%,且通过使用计算机集群在不到一小时内便成功破解了90%的散列密码。

2013-05-30 10:41:50

WiFi密码新攻击破解方法,黑客只需10秒
近日,中国知名黑客安全组织东方联盟研究人员透露了一种新的WiFi黑客技术,使黑客更容易破解大多数现代路由器的WiFi密码,并且攻破只需要10秒,速度非常快。

2018-08-09 05:39:58

使用Python假装伪黑客,批量破解朋友的网站密码
今天看了一篇关于如何破解iphone手机密码的文章,瞬间觉得科学技术不是第一生产力,why

2019-11-08 15:27:56

十大黑客工具之John the Ripper(密码破解
Johntheripper是一款基于字典的免费的密码破解工具。简单来说就是进行暴力密码破解,这种密码破解方式,耗费时间长、耗费处理器资源多。尝试的密码越多,所需的时间就越长。

2018-12-14 08:35:16

黑客1分钟破解密wifi码盗取用户信息
当前市面上的多种主流路由器产品存在后门,可能被黑客控制导致个人信息泄露。近日也有网友演示了如何用黑客软件1分钟破解路由器WIFI密码,5分钟盗取微博账号和网银信息。

2015-05-27 16:40:33

IPtables限制BT、电驴等网络流量
iptables是与最新的2.6.x版本Linux内核集成的IP信息包过滤系统。BT、电驴我们经常用,那你们知道如何利用IPtables来限制他们的网络流量么,本文将介绍下他的方法!

2011-03-15 15:33:26

IPtablesBT电驴
黑客团队称破解1100万Ashley Madison网站的密码
一个自称CynoSurePrime的黑客团队声称,在刚刚过去的10天里已经破解了上超过1100万使用Bcrypt算法的散列密码。

2015-09-15 14:00:11

黑客破解一个六位密码就能入侵特斯拉汽车
根据一项最新公布的研究结果显示,网络黑客凭借传统黑客技术就能够破解特斯拉ModelS电动汽车的六位密码,从而对汽车进行锁定和解锁。

2014-03-31 10:20:12

云中的密码破解
对于那些在短期内需要一些计算容量,但又不想在固定资产方面长期投资的企业来说,随需提供的云计算是一种非常神奇的工具。由于相同的原因,云计算对于黑客来说也非常有用——很多黑客活动都牵涉到口令、密钥破解,以及其它形式的暴力破解,所有这些活动需要的都是昂贵和高度并行的计算。

2010-12-03 11:43:51

如何破解grub密码
Linux安装完毕后会有一个linuxroot用户。那么如何在不知道密码的情况下修改掉linuxroot用户的密码呢本系统使用RedHatLinux安装环境是vmware6.0使用GRUB引导。

2013-07-05 10:04:47

密码破解不再神秘 教你搭建密码破解服务器
我们经常为客户做大量的密码破解工作。有时候是由于我们破解了一个系统,寻找有无密码重复使用的情况;有时候是由于我们在获取密码复杂性方面的统计数字,以证明某个观点;有时候我们只是试图破解WPAPSK。不过,你有一套很安全的系统很要紧。我们最近改建了自己的一台密码破解服务器,下面介绍了关于其规格和配置的一些信息。

2011-12-09 10:17:07

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服