我试图用iptables保护Smurf攻击。 与
iptables -A INPUT -p icmp -m icmp --icmp-type address-mask-request -j DROP
iptables -A INPUT -p icmp -m icmp --icmp-type timestamp-request -j DROP
iptables -A INPUT -p icmp -m icmp -m limit --limit 1/second -j ACCEPT
当我运行此命令时
iptables -A INPUT -p icmp -m icmp -m limit --limit 1/second -j ACCEPT
iptables显示和错误
iptables v1.4.21: icmp: option "--icmp-type" must be specified
问题是什么?
答案 0 :(得分:3)
问题是当使用icmp模块时,必须始终使用--icmp-type指定一个或多个icmp类型。 这是因为ICMP用于许多合法的事情,比如“需要碎片”,这会阻止,因为它会导致无法到达的目的地。
通常通过让服务器回复大量的回应请求来完成smurf攻击(这是90年代的事情)。回声请求是icmp-type 8 - 所以我建议这样做:
iptables -A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/second -j ACCEPT
这将允许每秒1“icmp echo reply”。 (阿卡。“ping回复”)。我个人将这个限制设置为高于1 /秒,但这应该有效。