0


【DevOps】Ubuntu防火墙配置:如何封禁黑客攻击源IP

在网络安全防护的实践中,及时识别并封锁恶意攻击的IP地址是至关重要的。本文将指导您如何使用Ubuntu系统的防火墙工具有效地封禁那些试图侵入网络的黑客IP。通过详细的步骤和实用的命令,即使是初学者也能轻松掌握如何配置防火墙,增强您的网络安全防护墙。接下来,让我们一起学习如何在Ubuntu上实施这些关键的安全措施。

一、

UFW防火墙

在 Ubuntu 20.04 中,默认的防火墙工具是

UFW

(Uncomplicated Firewall,简单防火墙)。它提供了一个易于使用的命令行界面来管理防火墙规则。

1、安装 UFW

通常情况下,UFW 已经预装在 Ubuntu 上。如果没有,可以手动安装:

sudo apt update
sudo apt install ufw

2、启用 UFW

启用防火墙:

sudo ufw enable

3、禁用 UFW

如果需要临时关闭防火墙:

sudo ufw disable

4、检查 UFW 状态

查看防火墙规则以及当前的活动状态:

sudo ufw status

显示活动状态和详细信息:

sudo ufw status verbose

5、设置默认策略

默认情况下,防火墙默认策略是拒绝所有传入的连接并允许所有传出的连接:

sudo ufw default deny incoming
sudo ufw default allow outgoing

6、添加规则

通过以下命令可以添加允许或拒绝的规则。

允许传入服务或端口
  • 允许所有来自特定端口的传入连接,例如 HTTP(端口 80)和 HTTPS(端口 443):
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
  • 允许通过服务名称(如果 /etc/services 中有定义):
sudo ufw allow http
sudo ufw allow https
  • 允许特定 IP 地址访问特定端口:
sudo ufw allow from 192.168.1.100 to any port 22
  • 允许特定子网访问特定端口:
sudo ufw allow from 192.168.1.0/24 to any port 22
拒绝传入连接
  • 拒绝所有来自特定端口的传入连接:
sudo ufw deny 80/tcp
  • 拒绝特定 IP 地址访问特定端口:
sudo ufw deny from 192.168.1.100 to any port 22

7、删除规则

使用与添加规则相同的语法来删除规则,但使用

delete

关键字。例如:

sudo ufw delete allow 80/tcp
sudo ufw delete deny from 192.168.1.100 to any port 22

8、启用日志

启用 UFW 日志记录:

sudo ufw logging on

9、其他命令

  • 重载防火墙规则
sudo ufw reload
  • 重置防火墙(清除所有规则)
sudo ufw reset

二、怎么封攻击的IP地址

昨天一台在公网的测试Web服务器的CPU突然彪到95%,查了一下发现是有人在做CC攻击,短期内大量的访问我们的正常的URL,然后导致这台测试服务器的资源被占用,CPU达到95%。我们需要找出攻击的IP地址,然后开启防火墙阻止这个黑客的攻击。

1、查找Web日志,发现攻击的IP

使用nginx作为Web服务器的日志一般都放在/var/log/nginx目录下面。

找到这些日志,其中的有很多条相似的日志,短时间内访问量很大,IP是相同的,就可以怀疑不是正实用户的访问,让我们拿其中的一条日志来举例说明:

104.243.40.15 - - [07/May/2024:19:22:11 +0000] "GET /catalogsearch/result/ HTTP/1.1" 302 5 "https://www.google.com/search?hl=en&q=testing" "User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; 360SE)"
日志字段解释

**

104.243.40.15

:**

  • 访问者的 IP 地址。

**

-

**:

  • 通常用于表示用户的身份验证信息,如果没有身份验证信息就会显示 -
-

:

  • 通常用于表示用户的身份验证用户名,如果没有身份验证用户名就会显示 -

**

[07/May/2024:19:22:11 +0000]

**:

  • 请求的日期和时间,格式为 [日/月/年:时:分:秒 时区]
  • 在这个例子中是 [07/May/2024:19:22:11 +0000]

**

"GET /catalogsearch/result/ HTTP/1.1"

**:

  • 请求行,包含请求方法(GET)、请求的路径(/catalogsearch/result/)和 HTTP 版本(HTTP/1.1)。

**

302

**:

  • HTTP 状态码,表示请求的响应状态。
  • 302 是重定向状态码,表示资源已被临时移动到新的位置。

**

5

**:

  • 响应的字节数(响应体大小)。在这个例子中,只有 5 个字节。

**

"https://www.google.com/search?hl=en&q=testing"

**:

  • 请求的引用来源(Referer),表示用户从哪个页面点击链接访问的当前页面。
  • 在这个例子中,用户从 Google 搜索页面访问。

**

"User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; 360SE)"

**:

  • 用户代理字符串(User-Agent),表示请求客户端的详细信息。
  • 在这个例子中,用户代理字符串表明客户端是: - Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; 360SE)- 这通常表示使用 Internet Explorer 7.0 模拟的浏览器(360 安全浏览器)。
综合解释

日志记录显示,在 2024 年 5 月 7 日 19:22:11(UTC 时间),来自 IP 地址

104.243.40.15

的用户使用客户端

"Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; 360SE)"

访问了路径

/catalogsearch/result/

。该请求是从 Google 搜索页面

"https://www.google.com/search?hl=en&q=testing"

中点击链接跳转过来的。

服务器返回了 HTTP 状态码

302

,表示重定向,并返回了 5 个字节的响应体。由于状态码

302

表示重定向,请求被重定向到另一个页面。

因此我们发现这个IP**

104.243.40.15是攻击者的IP地址。

**

2、使用防火墙禁止访问

要使用

UFW

禁止特定 IP 地址的所有访问,可以添加一条

deny

规则。以下是添加规则并验证的步骤:

添加规则
  • 禁止 IP 地址 104.243.40.15 的所有访问sudo ufw deny from 104.243.40.15
  • 查看规则状态:添加规则后,查看防火墙状态以确保规则已生效:sudo ufw status verbose输出应包含类似以下内容:Status: activeLogging: on (low)Default: deny (incoming), allow (outgoing), disabled (routed)New profiles: skipTo Action From-- ------ ----Anywhere DENY 104.243.40.15
使用编号规则

如果你愿意,可以使用

numbered

规则查看并删除特定规则。

  • 查看规则编号sudo ufw status numbered
  • 删除特定规则:例如,要删除编号为 [5] 的规则:sudo ufw delete 5
完整示例

以下是完整的防火墙规则配置示例,禁止特定 IP 地址的所有访问,并允许其他常用服务:

# 启用 UFW
sudo ufw enable

# 禁止特定 IP 地址的所有访问
sudo ufw deny from 104.243.40.15

# 允许 SSH
sudo ufw allow 22/tcp

# 允许 HTTP 和 HTTPS
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

# 查看 UFW 状态
sudo ufw status verbose

3、规则没起作用怎么办?

设完了以后,发现访问居然没有停止,难道是我们的规则没有起作用吗?这个时候我们需要来排查规则没有起作用的原因。在

UFW

中,规则的顺序很重要,规则是按照它们的添加顺序进行匹配的。为了确保特定的 IP 地址被禁止访问,你需要将

Deny

规则放在其他允许规则之前。

移动规则的方法
  • 列出带编号的规则:使用 numbered 参数查看当前的所有规则并为每个规则分配一个编号。sudo ufw status numbered例如,将看到类似以下输出:Status: active To Action From -- ------ ----[ 1] 22 ALLOW IN Anywhere [ 2] 80 ALLOW IN Anywhere [ 3] 443 ALLOW IN Anywhere [ 4] 56678 ALLOW IN Anywhere [ 5] 80/tcp ALLOW IN Anywhere [ 6] 22/tcp ALLOW IN Anywhere [ 7] 2222/tcp ALLOW IN Anywhere [ 8] 443/tcp ALLOW IN Anywhere [ 9] Anywhere DENY IN 104.243.40.15 [10] 22 (v6) ALLOW IN Anywhere (v6) [11] 80 (v6) ALLOW IN Anywhere (v6) [12] 443 (v6) ALLOW IN Anywhere (v6) [13] 56678 (v6) ALLOW IN Anywhere (v6) [14] 80/tcp (v6) ALLOW IN Anywhere (v6) [15] 22/tcp (v6) ALLOW IN Anywhere (v6) [16] 2222/tcp (v6) ALLOW IN Anywhere (v6) [17] 443/tcp (v6) ALLOW IN Anywhere (v6)
  • 删除旧的 Deny 规则:删除当前的 Deny 规则(根据编号,例如 [9]):sudo ufw delete 9
  • 重新添加 Deny 规则:重新添加禁止特定 IP 地址的规则,以确保它在所有允许规则之前:sudo ufw insert 1 deny from 104.243.40.15``````insert 命令将规则插入到指定的位置。在这里,将 Deny 规则插入第一位,使其优先级最高。
  • 查看最终状态:确认规则已正确生效并位于首位:sudo ufw status numbered例如:Status: active To Action From -- ------ ----[ 1] Anywhere DENY IN 104.243.40.15 [ 2] 22 ALLOW IN Anywhere [ 3] 80 ALLOW IN Anywhere [ 4] 443 ALLOW IN Anywhere [ 5] 56678 ALLOW IN Anywhere [ 6] 80/tcp ALLOW IN Anywhere [ 7] 22/tcp ALLOW IN Anywhere [ 8] 2222/tcp ALLOW IN Anywhere [ 9] 443/tcp ALLOW IN Anywhere [10] 22 (v6) ALLOW IN Anywhere (v6) [11] 80 (v6) ALLOW IN Anywhere (v6) [12] 443 (v6) ALLOW IN Anywhere (v6) [13] 56678 (v6) ALLOW IN Anywhere (v6) [14] 80/tcp (v6) ALLOW IN Anywhere (v6) [15] 22/tcp (v6) ALLOW IN Anywhere (v6) [16] 2222/tcp (v6) ALLOW IN Anywhere (v6) [17] 443/tcp (v6) ALLOW IN Anywhere (v6)

这样,禁止特定 IP 地址的规则将优先于其他规则,使其生效。

4、查看分析UFW日志

修改完了规则以后,可以去防火墙日志观看生效情况,UFW日志一般在/var/log/ufw.log文件当中。

查看日志可以看到类似于这种拦截日志。我们取其中的一条日志进行分析:

May 8 12:33:23 ip-172-38-3-214 kernel: [56099670.916763] [UFW BLOCK] IN=ens5 OUT= MAC=06:49:e1:69:e5:f3:06:76:1b:bb:15:0f:08:00 SRC=172.39.7.133 DST=172.38.3.214 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=3306 DPT=58636 WINDOW=0 RES=0x00 RST URGP=0

这个日志条目来自一个运行在Linux系统上的服务器,它记录了防火墙(UFW,Uncomplicated Firewall)阻止了一个网络连接尝试。下面是该日志的详细解析:

  • 时间戳May 8 12:33:23 表示事件发生的具体时间。
  • 主机名/IP地址ip-172-38-3-214 是产生日志的服务器的IP地址或主机名。
  • 日志来源kernel: 指出这条信息是由内核记录的。
  • 事件微秒时间[56099670.916763] 是事件发生时相对于某个参考点的精确时间(微秒级)。
  • UFW操作[UFW BLOCK] 显示这是一个UFW防火墙阻止的操作。
  • 网络接口:- IN=ens5 表示数据包是从网络接口ens5进入的。- OUT= 空表示没有数据包尝试从该服务器外出(即响应包未生成)。
  • MAC地址:源MAC地址06:49:e1:69:e5:f3和目的MAC地址06:76:1b:bb:15:0f,分别标识了发起连接的设备和目标设备的物理地址。
  • 网络层信息:- SRC=172.39.7.133 指发起连接的源IP地址。- DST=172.38.3.214 是目的IP地址,即这台服务器的IP地址。- LEN=40 表示数据包的总长度为40字节。- TOS=0x00PREC=0x00 分别是服务类型和优先级,这里都是默认值。- TTL=64 是生存时间(Time to Live),表示数据包在网络中的最大跳数,这里是64。- ID=0 数据包的标识符。- DF 表示"不要分片"标志被设置,意味着数据包不能被路由器分片。
  • 传输层信息:- PROTO=TCP 表明使用的是TCP协议。- SPT=3306 源端口是3306,通常与MySQL数据库服务相关。- DPT=58636 目的端口是58636,这是一个比较随机的高端口,可能是客户端为了建立连接而使用的临时端口。- WINDOW=0RES=0x00 是TCP头部的窗口大小和保留字段,这里窗口大小为0可能是因为RST标志(下文解释)。- RST 表示这是一个复位(Reset)标志,意在告诉对方连接请求不被接受或连接已异常终止。- URGP=0 无操作,因为这是TCP包,非ICMP包中的相关内容。

综上所述,这条日志说明在2023年5月8日12:33:23,一台IP地址为172.39.7.133的设备尝试通过TCP协议从端口3306(通常为MySQL服务端口)连接到IP地址为172.38.3.214的这台服务器的58636端口。由于防火墙规则,这个连接请求被UFW阻止,并发送了一个RST标志来拒绝该连接。

总结

通过 UFW 防火墙,我们可以轻松地封锁恶意 IP,保护服务器免受攻击。主要步骤包括:

  1. 确保 UFW 已启用并设置默认策略。
  2. 开放必要的端口并封锁恶意 IP。
  3. 启用日志记录,实时监控防火墙活动。

合理使用 UFW 防火墙规则和日志监控,有助于提升服务器的安全性并阻止未经授权的访问。

标签: devops tcp/ip 防火墙

本文转载自: https://blog.csdn.net/benshu_001/article/details/138578144
版权归原作者 Coder加油! 所有, 如有侵权,请联系我们删除。

“【DevOps】Ubuntu防火墙配置:如何封禁黑客攻击源IP”的评论:

还没有评论