正常情况下,暴露于互联网的服务器是不会收到来自目标端口是137,138,139的数据包,若你对Samba协议熟悉的话,这三个端口是Windows系统用于请求NetBIOS主机名称,若短短在10分钟之内,你的服务器收到来自这些莫名奇妙的数据包,基本可以断定是收到来自互联网其他来历不明源IP对你主机的端口扫描。
这些端口扫描,来源与Windows 2000/XP时代NetBIOS服务漏洞,包含netbios-ssn(139/tcp)以及netbios-ns(137/tcp),NetBios 會洩漏远程主机的ID以及的主机名称,入侵者更可以使用密碼破解工具,对主机進行字典攻击的,如下图是笔者的Linux服务器在最近运行以来,收到来自这些恶意IP地址的端口扫描
如果你有阅读我之前的Linux防火墙系列文章,应该了解到如下firewalld的规则的重要性,我们来自可疑的数据包都做了日志记录,但仅有日志记录是远远不够的,还要采取一些主动防御措施
这也是会有本篇随笔的原因,所谓的主动防御就是Linux防火墙从目前的防火墙日志中提取那些恶意的IP地址,并制作一个黑名单写入规则中,永久Ban掉这些恶意IP。
本篇会以防止端口扫描为例,这个案例中会用到这些direct规则
ipv4 mangle PORT_SCANNING 0 -m recent --name portscan --rcheck --seconds 25200 -j DROP
ipv4 mangle PORT_SCANNING 1 -m recent --name portscan --remove
ipv4 mangle PORT_SCANNING 2 -p tcp --dport 139 -m recent --name portscan --set -j LOG --log-prefix port_scan:
ipv4 mangle PORT_SCANNING 3 -p tcp --dport 139 -m recent --name portscan --set -j DROP
ipv4 mangle PORT_SCANNING 4 -p tcp --dport 138 -m recent --name portscan --set -j LOG --log-prefix port_scan:
ipv4 mangle PORT_SCANNING 5 -p tcp --dport 138 -m recent --name portscan --set -j DROP
ipv4 mangle PORT_SCANNING 6 -p tcp --dport 137 -m recent --name portscan --set -j LOG --log-prefix port_scan:
ipv4 mangle PORT_SCANNING 7 -p tcp --dport 137 -m recent --name portscan --set -j DROP
根据前面一篇的日志管理,我们将防火墙日志保存在/var/log/iptables.log这个文件中,也就是上文第一个插图的日志记录。我们需要从日志中提取有用的源IP地址。你应该要想到“Python大法好,信Python得脱身!!”
- 下面的python程序就是从/var/log/iptables.log日志文件中提取每行记录的跟源IP地址的关键字,
- 并将这些源IP地址追加到一个集合中。
- 最后将set集合中的ip地址逐行写入一个叫ipList.txt的文本当中
为什么要用set,而不用list呢?因为set数据接口可以除去重复的IP地址。这个Python程序没什么好说的,一目了然。
#!/usr/bin/python3
import os,re
logFile='/var/log/iptables.log'
blkIpFile='~/iplist.txt'
ip_pat=re.compile(r'SRC=(\d+\.\d+\.\d+\.\d+)')
if not os.path.exists(logFile):
raise FileNotFoundError("{}文件不存在!!".format(logFile))
keyWords=["port_scan","syn_attack"]
res=None
blackIPs=set()
with open(logFile,'r') as f:
data=f.readlines()
for line in data:
for word in keyWords:
if word in line:
res=ip_pat.findall(line)
if len(res):
print("找到源ip:{}".format(res[1]))
blackIPs.add(res[1])
break
#if
#end-for
#end-for
#end-with
if not os.path.exists(blkIpFile):
raise FileNotFoundError("{}文件不存在".format(blkIpFile))
with open(blkIpFile,'w') as f:
if len(blackIPs)==0:
raise ValueError("参数blackIPs为空!!\n")
for item in blackIPs:
f.write("{}\n".format(item))
#end-for
#end-with
运行上面的脚本后,我们可以查看iplist.txt这个文本,笔者都惊呆了,运行短短十多天的服务器居然遭到650多个恶意IP地址
接下来,需要用到firewalld的ipset选项,将上面的iplist.txt文件导入到firewalld的规则中,
ipset指定的IP地址集可以在防火墙区域中用作源地址过滤,也可以用作rich规则中的源地址。 在Red Hat Enterprise Linux 7中,首选方法是在direct规则中使用用firewalld创建的ipset。
以本文为例,创建一个名为“blk_src_ips”的ipset
firewall-cmd --permanent --new-ipset=blk_src_ips --type=hash:net
type选项中的hash:net对应的是ipv4的网络环境。 要创建用于IPv6的IP集,请添加--option = family = inet6选项。
接下来,就是使用--add-entries-from-file选项将iplist.txt的内容导入到blk_src_ips的ipset空间中
irewall-cmd --permanent --ipset=blk_src_ips --add-entries-from-file=~/iplist.txt
跟着,我们在drop区域中定义一条源规则,将blk_src_ips的地址集作为源规则的源IP,我们之所以要使用drop区域是因为drop区域默认就是任何绑定到该区域的IP地址或端口的数据包都一律丢弃。
firewall-cmd --permanent --zone=drop --add-source=ipset:blk_src_ips
最后一步,非常关键,一定要确保drop区域是防火墙最后要被执行的默认区域,因此一定要补上这条命令
firewall-cmd --permanent --set-default-zone=drop
firewall-cmd --reload
运行一段时间,或许你会发现的默认区域的策略已经生效了,PRE_drop这条链中正是匹配ipset:blk_src_ips这个地址集的,刚好有一个数据包被拦截并且丢弃,这样已经说明刚才的配置已经生效了。
ss8.png
小结:
本案例,需要你对TCP/IP协议有一定程度的了解,以及了解firewalld内部区域和iptables规则的内部运行原理。
网友评论