วิธีบลอค UDP เปิดใช้งานเฉพาะ ไอพี dns server เท่านั้น

สวัดดีครับ หลังจากหลายเดือนที่ผ่านมา ผมเจอปัญหา โจมตีออกจาก ของผมเพราะว่าลูกค้าถูกฝังสคิป ซึ่งผ่านไปหลายวันมากกว่าจะหาสาเหตุเจอ วิธีแก้ปัญหาเบื้องต้น เพื่อป้องกันการโจมตีออก หลักการคือ อนุญาติให้ใช้งาน port 53 เท่านั้น เพื่อให้มีการ resolv ไปที่ dns ที่ใช้งาน
รวมไปถึง เปิดให้ใช้งาน udp ได้เฉพาะบางไอพีเท่านั้น

 

iptables -F <<< ลบ rule เดิมทั้งหมด หากต้องการใช้งาน rule เดิมให้ข้ามขั้นตอนนี้ไปครับ
iptables -A OUTPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp –sport 53 -j ACCEPT << อนุญาติให้ port 53 เท่านั้นที่ใช้งาน udpได้ หากต้องการเปิดพอร์ตไหนบ้าง ก็เพิ่มบรรทัดไปนะครับ

ใส่ dns ของ IDC ที่ใช้งาน อย่างของผมนั้นใช้ csloxinfo idc ผมจึงใช้ไอพีดังกล่าว
iptables -A OUTPUT -d 203.146.237.237 -j ACCEPT
iptables -A OUTPUT -d 203.146.237.222 -j ACCEPT

บลอค udp ทั้งหมดไม่ให้ออกจากเครื่อง นอกจาก port 53
iptables -A OUTPUT -p udp -j DROP

เรียบร้อยครับ หลังจากเจอปัยหามาหลายวัน ผมทำวิธีนี้แล้วหายขาดครับ แต่วิธีนี้เป็นวิธีการแก้ไขที่ปลายเหตุนะครับ อย่าลืมหาต้นตอของอาการด้วย