วิธีบลอค UDP เปิดใช้งานเฉพาะ ไอพี dns server เท่านั้น

สวัดดีครับ หลังจากหลายเดือนที่ผ่านมา ผมเจอปัญหา โจมตีออกจาก server ของผมเพราะว่าลูกค้าถูกฝังสคิป ซึ่งผ่านไปหลายวันมากกว่าจะหาสาเหตุเจอ วิธีแก้ปัญหาเบื้องต้น เพื่อป้องกันการโจมตีออก หลักการคือ อนุญาติให้ใช้งาน port 53 เท่านั้น เพื่อให้มีการ resolv ไปที่ dns ที่ใช้งาน
รวมไปถึง เปิดให้ใช้งาน udp ได้เฉพาะบางไอพีเท่านั้น

 

iptables -F <<< ลบ rule เดิมทั้งหมด หากต้องการใช้งาน rule เดิมให้ข้ามขั้นตอนนี้ไปครับ
iptables -A OUTPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp –sport 53 -j ACCEPT << อนุญาติให้ port 53 เท่านั้นที่ใช้งาน udpได้ หากต้องการเปิดพอร์ตไหนบ้าง ก็เพิ่มบรรทัดไปนะครับ

ใส่ dns ของ IDC ที่ใช้งาน อย่างของผมนั้นใช้ csloxinfo idc ผมจึงใช้ไอพีดังกล่าว
iptables -A OUTPUT -d 203.146.237.237 -j ACCEPT
iptables -A OUTPUT -d 203.146.237.222 -j ACCEPT

บลอค udp ทั้งหมดไม่ให้ออกจากเครื่อง นอกจาก port 53
iptables -A OUTPUT -p udp -j DROP

เรียบร้อยครับ หลังจากเจอปัยหามาหลายวัน ผมทำวิธีนี้แล้วหายขาดครับ แต่วิธีนี้เป็นวิธีการแก้ไขที่ปลายเหตุนะครับ อย่าลืมหาต้นตอของอาการด้วย