Ctrl + d 退出shell,logout

 

*** 用netstat命令发现攻击来源
假如说黑客攻击的是Web
80端口,察看连接80端口的客户端IP和端口,命令如下:
netstat -an -t tcp grep “:80” grep ESTABLISHED awk {printf “%s %s
“,$5,$6} sort
输出:
161.2.8.9:123 FIN_WAIT2
161.2.8.9:124 FIN_WAIT2
61.233.85.253:23656 FIN_WAIT2

第一栏是客户机IP和端口,第二栏是连接状态
如果来自同一IP的连接很多(超过50个),而且都是连续端口,就很可能是攻击。
如果只希望察看建立的连接,用命令:
netstat -an -t tcp grep “:80” grep ESTABLISHED awk {printf “%s %s
“,$5,$6} sort

  Ctrl + e 切换到命令行末尾

Sendmail作为免费的邮件服务器软件,已被广泛应用于Internet各种操作系统的服务器中。如:Solaris,HPUX,AIX,IRIX,Linux等等。随着互连网的普及,邮件服务器受攻击的机会也大大增加。目前互连网上的邮件服务器所受攻击有两类:一类就是中继利用(Relay),即远程机器通过你的服务器来发信,这样任何人都可以利用你的服务器向任何地址发邮件,久而久之,你的机器不仅成为发送垃圾邮件的帮凶,也会使你的网络国际流量激增,同时将可能被网上的很多邮件服务器所拒绝。另一类攻击称为垃圾邮件(Spam),即人们常说的邮件炸弹,是指在很短时间内服务器可能接收大量无用的邮件,从而使邮件服务器不堪负载而出现瘫痪。这两种攻击都可能使邮件服务器无法正常工作。因此作为一个校园网邮件服务器防止邮件攻击将不可缺少。
目前对于sendmail邮件服务器,阻止邮件攻击的方法有两种。一种是升级高版本的服务器软件,利用软件自身的安全功能。第二种就是采用第三方软件利用其诸如动态中继验证控制功能来实现。下面就以sendmail
V8.9.3为例,介绍这些方法。
1.服务器自身安全功能
(1)编译sendmail时的安全考虑
要利用sendmail
8.9.3的阻止邮件攻击功能,就必须在系统编译时对相关参数进行设置,并借助相关的软件包。目前主要就是利用Berkeley
DB数据库的功能,Berkeley
DB包可以从相关站点上下载,并需要预先编译好。然后将Berkeley
DB的相关参数写进sendmail的有关文件中。
a.修改site.config.m4文件
将编译好的Berkeley
DB有关库文件路径加入到site.config.m4文件中,使sendmail编译后能够使用Berkeley
DB数据库。例如:
#cd $/sendmail-8.9.3/BuidTools/Site
修改site.config.m4文件
define (confINCDIRS, -I/usr/local/BerkeleyDB/include)
define (confLIBDIRS, L/usr/local/BerkeleyDB/lib)
b.修改sendmail.mc文件
sendmail.mc是生成sendmail.cf的模板文件之一,要使sendmail具有抗邮件攻击功能还需在该文件中进行相关定义。主要包括以下几项:
……
FEATURE(relay_entire_domain)
FEATURE(ACCESS_DB)dn1
FEATURE(blacklist_recipients)
……

调整上述设置的方法是:
增加SYN队列长度到2048:
sysctl -w net.ipv4.tcp_max_syn_backlog=2048
打开SYN COOKIE功能:
sysctl -w net.ipv4.tcp_syncookies=1
降低重试次数:
sysctl -w net.ipv4.tcp_synack_retries=3
sysctl -w net.ipv4.tcp_syn_retries=3

  Ctrl + y 粘贴刚才所删除的字符

在服务器开始使用时建议将所有顶级域名加入其中,以后再根据安全需要对其进行修改,否则将会使pop3用户发送邮件时出现relay
reject错误,而无法向没有加入的域名目标邮件地址发送邮件。
3)版本号的修改
对于一台邮件服务器,可以通过远程的25端口telnet命令来获取服务器的版本信息。如:“telnet
sendmail服务器主机25”就可以查看sendmail的当前版本。为了防止一些恶意的查看版本信息操作,sendmail提供了可以对显示的版本进行修改的操作。
在sendmail.cf文件中有一句“SmtpGreetingMessage=$j sendmail $V/$Z;
$b”的语句,其中$V/$Z就是版本信息,正常情况下由该参数显示的版本信息为sendmail本身的版本。如果要设定成管理员给定的版本信息,只需将该参数改掉,然后加入你所希望的信息即可。例如:当把这句改成“SmtpGreeting
Message=$j sendmail 0.0/0.0;
$b”,重启sendmail服务,则sendmail的版本就会变成“sendmail
0.0”。从而达到隐蔽版本信息的目的。
以上是sendmail
8.9.3本身带有的安全功能设置,通过这些安全设置可以大大加强服务器安全性能。但是在防止邮件中继和邮件炸弹的设置时,如何确定哪些目标地址是需阻止中继的,哪些又是允许中转的,似乎只能通过管理员对日志文件的分析和观测,或者待发现了安全问题后才能确定。因此这种安全控制还仅是事后控制,并且对相关文件修改后还必须重新启动服务器。如要实现事先动态安全控制还需要采用其他方法。
2.动态中继验证控制
DRAC(Dynamic Relay Authorization
Control)动态中继验证控制是专门为邮件服务器设计的一个服务器端软件(html”>
(1)DRAC的编译
在编译DRAC之前,系统的sendmail服务器应该已经正确编译安装了。首先在DRAC源程序目录中编辑Makefile文件,在Solaris
2.x操作系统中其Makefile改成:
INSTALL=/usr/ucb/install
EBIN=/usr/local/sbin

如果/etc/sysconfig/ipchains文件不存在,可以用上述内容创建之。创建之后,启动ipchains服务:
/etc/init.d/ipchains start

  Ctrl + a 切换到命令行开始

重新生成sendmail.cf文件后,再重启sendmail进程。

上述命令行方法所建立的规则,在重起之后会失效,您可以用ipchains-save命令打印规则:
ipchains-save
输出:
:input ACCEPT
:forward ACCEPT
utput ACCEPT
Saving `input.
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i lo -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 110:110 -p 6 -j ACCEPT
-y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 80:80 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 88:88 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 89:89 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 90:90 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 91:91 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 8180:8180 -p 6 -j ACCEPT
-y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 443:443 -p 6 -j ACCEPT
-y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 21:21 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 25:25 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 53:53 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 9095:9095 -p 6 -j ACCEPT
-y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 8007:8007 -p 6 -j ACCEPT
-y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 53:53 -p 17 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 0:1023 -p 6 -j REJECT
-y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 2049:2049 -p 6 -j REJECT
-y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 0:1023 -p 17 -j REJECT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 2049:2049 -p 17 -j
REJECT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 6000:6009 -p 6 -j REJECT
-y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 7100:7100 -p 6 -j REJECT
-y

  Ctrl + l 清除屏幕内容,效果等同于clear

其中reject动作是拒绝接受从指定地址发来的邮件;ok是允许特定地址用户任意访问;relay允许通过本邮件服务器进行中转邮件;discard是将收到的邮件交给特定命令进行处理,例如:可以设定将收到的邮件丢弃,或者设定收到邮件后返回给使用者一条出错信息等等。
Relay-domains文件是设定哪些域是该服务器可以中继的域,其格式为每个域占一行。如:
……
CN
EDU
JP
……

您需要把其中的”Saving
`input.”去掉,然后把其他内容保存到/etc/sysconfig/ipchains文件,
这样,下次重起之后,建立的规则能够重新生效。

  Ctrl + u 清除剪切光标之前的内容

(2)相关文件的配置
正确编译好sendmail是邮件服务器安全控制的基础,而真正的安全设置主要还是利用相关文件进行的。这种包含控制语句的文件主要是access和relay-domains。
access是邮件安全控制的主要数据库文件,在该文件中可以按照特定的格式将需控制的域名、IP地址或目标邮件地址,以及相应的动作值写入,然后使用makmap命令生成access.db文件(#makemap
hash access.db <
access),从而使服务器允许或屏蔽邮件中继和邮件轰炸。access的格式如下:
spam.com REJECT
edu.cn OK
hotmail.com DISCARD

为了系统重启动时保持上述配置,可将上述命令加入到/etc/rc.d/rc.local文件中。

  Ctrl + r 在历史命令中查找
(这个非常好用,输入关键字就调出以前的命令了)

然后编译并安装即可。
如果存在多个pop/IMAP服务器,则还需要将这些服务器的IP地址加到文件/etc/mail/dracd.allow中,其文件书写格式与/var/yp/securenets文件格式一样。如:
255.255.255.255 202.139.244.23
255.255.255.255 127.0.0.1
(2)修改sendmail.mc文件重新生成sendmail.cf
在使用DRAC验证功能之前,还需要将DRAC的验证信息加到sendmail.cf文件中。首先要修改sendmail.mc文件,然后重新生成sendmail.cf。sendmail.mc文件中相关语句修改如下:
在LOCAL_CONFIG行下增加
kdrac btree /etc/mail/dracd
在LOCAL_RULESETS下增加
Slocal_check_rcpt
R$* $: ___FCKpd___4amp;{client_addr}
R___FCKpd___4 $: $(drac $1 $: ? $)
R?
[email protected]
?
R___FCKpd___4
[email protected]
$#OK

* 直接用命令行
加入/etc/sysconfig/ipchains文件并重起ipchains的方法,比较慢,而且在ipchains重起的瞬间,
可能会有部分连接钻进来。最方便的方法是直接用ipchains命令。
假定要阻止的是218.202.8.151到80的连接,命令:

  这个操作跟Home实现的结果一样的,但Home在某些unix环境下无法使用,便可以使用这个组合;在Linux下的vim,这个也是有效的;另外,在windows的许多文件编辑器里,这个也是有效的。

  1. 如果使用iptables
    RH 8.0以上开始启用iptables替代ipchains,两者非常类似,也有差别的地方。
    * 启用iptables
    如果/etc/sysconfig/下没有iptables文件,可以创建:
    # Firewall configuration written by lokkit
    # Manual customization of this file is not recommended.
    # Note: ifup-post will punch the current nameservers through the
    # fire

  这个操作跟END实现的结果一样的,但End键在某些unix环境下无法使用,便可以使用这个组合;在Linux下的vim,这个也是有效的;另外,在windows的许多文件编辑器里,这个也是有效的。

MAN=/usr/local/man/man
DEFS=-DTI_RPC -DFCNTL_LOCK -DSYSINFO
CC= (编译器)
RANLIB= :
CFLAGS=$(DFES) -g -I/path/to/db/include
LDLIBS=-L/path/to/db/library -lns1 -1db
TSTLIBS=-L. -ldrac -lns1
MANLIB=3
MANADM=1m

*** 用ipchains阻断攻击来源
用ipchains阻断攻击来源,有两种方法。一种是加入到/etc/sysconfig/ipchains里,然后重启动
ipchains服务。另一种是直接用ipchains命令加。屏蔽之后,可能还需要重新启动被攻击的服务,
是已经建立的攻击连接失效

  !$ 显示系统最近的一条参数

加大SYN队列长度可以容纳更多等待连接的网络连接数,打开SYN
Cookie功能可以阻止部分
SYN攻击,降低重试次数也有一定效果。

发表评论

电子邮件地址不会被公开。 必填项已用*标注