Linux下的NAT及防火墙的混合应用(6)

　　当确定了服务器开设了什么端口以后，有经验的入侵者可以从端口判断出这台服务器开设的具体服务，然后就是按照不同的服务进行漏洞攻击或入侵了。

　　从以上攻击步骤看出，不要让服务器完全暴露在网络中，是非常重要的，也就是首先对端口进行过滤，只允许指定的服务通过制定的端口穿越防火墙。这也就引出了RFC2979规定的互联网防火墙规则配置的基本准则之一：

　　一切未被允许的就是禁止的。

　　基于该准则，防火墙应该封锁所有的信息流，然后对希望提供的服务逐项开放。这是一种非常实用的方法，可以造成一种十分安全的环境，因为只有经过仔细挑选的服务才被允许实用。

　　3.2如何防御网络攻击

　　从我们上例来看，我们只开设了web服务使用标准的80端口。

　　那我们要在防火墙中进行如下设置：

　　iptables -P INPUT -j DROP #我们用-P来拦截主机上所有通讯

　　iptables -A INPUT -p tcp -dport 80 -j ACCEPT #打开80端口的tcp协议

　　假如我们在将来还要还要添加适当端口，可以用上句的格式逐一添加

　　这样我们就实现了对网络服务器主机的端口过滤功能，这种方法也只是降低受到攻击的次数要防御这种攻击，还要分别制定防火墙策略。

　　1． 死亡之ping （ping of death）

　　ping,这个软件是测试网络间是否畅通用的，他应用于icmp协议，但并不依赖于哪个端口，由于在早期的阶段，路由器对包的最大尺寸都有限制，许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方当机。

　　为了解决这个问题，我们可以在防火墙中加入以下内容

　　iptables -A INPUT -p icmp -icmp-type echo-request -i eth1 -j DROP

　　这句话的意思是，从接口eth1进入的icmp协议的请求全部丢弃。

　　2． SYN Flood (拒绝服务攻击)

　　SYN Flood 是目前最流行的拒绝服务攻击与分布式拒绝服务攻击的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽的攻击方式。