我用Redhat As3 搭了一个代理服务器，经常出现下列情况，请问怎么解决~!

Question

内网经常中毒,怎么防范Arp-flood????
请高手指点一二
UDP: bad checksum. From 220.200.177.4:37856 to 218.249.24.18:13883 ulen 35
UDP: bad checksum. From 202.103.135.20:22379 to 218.249.24.18:2416 ulen 72
UDP: bad checksum. From 218.13.136.87:14195 to 218.249.24.18:8094 ulen 274
UDP: bad checksum. From 218.13.136.87:14228 to 218.249.24.18:8094 ulen 274
UDP: bad checksum. From 218.13.136.87:14230 to 218.249.24.18:8094 ulen 274
UDP: bad checksum. From 218.103.182.58:35813 to 218.249.24.18:23034 ulen 106
UDP: short packet: 61.53.188.83:1536 3635/180 to 218.249.24.18:53252
martian destination 0.0.224.91 from 10.130.200.251, dev eth0
martian destination 0.0.224.91 from 10.130.200.251, dev eth0
martian destination 0.0.224.91 from 10.130.200.251, dev eth0
martian destination 0.0.224.91 from 10.130.200.251, dev eth0
martian destination 0.0.224.91 from 10.130.200.251, dev eth0
martian destination 0.0.224.91 from 10.130.200.251, dev eth0
martian destination 0.0.224.91 from 10.130.200.251, dev eth0
martian destination 0.0.224.91 from 10.130.200.251, dev eth0
martian destination 0.0.224.91 from 10.130.200.251, dev eth0
martian destination 0.0.224.91 from 10.130.200.251, dev eth0
martian destination 0.0.224.91 from 10.130.200.251, dev eth0
martian destination 0.0.224.91 from 10.130.200.251, dev eth0

Answer 1

UDP bad checksum

交换机生成此系统日志消息当时在 UDP 数据包发现一个校验和出错，例如SNMP信息包。UDP数 据包头运载接受网络设备检查验证的检查和数据包在传输期间是损坏。如果接收的检查和在头不匹配校验和值，数据包投下， 并且错误信息被记录。发出 show netstat udp命令发现次数交换机发现了一个错误状态的检查和数据包。

Answer 2

斑主老大,我用的是RedHat As3 交换机是金浪1024(傻瓜交换机), 不支持2-3层管理
通过内核参数修改或者安装软件,在linux 系统上怎么防范这样的攻击啊.
现在国内亿阳就是用linux做的防火墙,这类攻击对他的影响不大,我们有没有做过类似这样
开发的,介绍一下用linux开发防火墙,优化和抗攻击的内幕哈.

Answer 3

基于Linux的路由器和防火墙配置
--------------------------------------------------------------------------------

    目前。网络操作系统Linux已成计算机技术专业人员的操作系统，技术人员通过简单的安装,就可以获得Linux提供的多项网络服务,例如域名服务、电子邮件、匿名FTP服务等。同时,它还提供了图形工作站所具有的Xwindows系统。最新的Linux7.2完全已经具备了网络服务器的所有功能。在此，本公司想结合自身的工作经验,谈谈Linux在另一方面的用途,即将Linux作为路由器连接两个不同的网段,并在其上配置防火墙,以 实现网络的存取访问控制和流量统计的功能。
　　要想使一台装有Linux的PC具有路由器的功能,首先要进行硬件配置。假设为一台Router的PC上装有Linux系统,并配有两块网卡,每块网卡连接一个不同的网段,该机作 为路由器在两个网段间转发IP数据包。为了防止两块网卡的中断发生冲突,需要网卡驱动 程序将中断分别设为不同值。我们公司在实践中将其中断号和I/O地址分别设置为:3,0x300H 和4,0x320H。
硬件配置完毕,还需要在软件上做相应的配置。在通常的安装模式下,Linux系统不具 备路由器的功能,因此,必须重新安装Linux内核。以Slackware版的Linux为例,其重新配 置内核的过程为 1. #cd/usr/src/linux
/*进入Linux的源代码目标*/
2. #make config
/*进行编译选项的配置*/
　　在该步中,系统会提供编译过程中的一些选项,供用户根据自己的实际情况进行选择 。对于无法确定的选项,用户可选择系统缺省值。在网络部分编译的询问中,会出现如下 的提示:
network firewall[y/n/N]?
/*内核是否支持防火墙*/
……
TCP/IP networking[n/y/Y]?
/*主机是否连接TCP/IP网络*/
IP: forwarding/gatewaying [n/y/Y]?
/*主机是否转发数据库或作为网关*/
……
IP:firewalling[y/n/N]?
/*是否在TCP/IP网络内设置防火墙*/
IP:firewall packet logging[y/n/N]?
/*是否在防火墙上登记数据包*/
……
IP:accounting[y/n/N]?
/*是否对数据包计帐*/
IPptimize as router not host[y/n/N]?
/*是否将主机设置为路由器*/
……
IP:multicats routig [y/n/N]?
/*路由器是否向外广播路由信息*/
　　因为我们要将此主机配置为路由器,并在其上设置防火墙,故对这些选项统一选"y"。
3.#make dep
/*根据编译选项做编译前的准备工作*/
4.#make zlmage
/*开始编译内核并命名编译后的内核文件名为zlmage*/
　　编译后的内核存于"/usr/src/linux/arch/i386/boot"目录。在系统原内核备份后, 用户可将该文件拷贝到根目录下,并改名为"vmlinuz",运行"lilo",使其在下次启动时生 效。
　　重构内核后,需对两块网卡的TCP/IP部分进行设置,使其能有效地连接两个不同的网 段,并能在两个网段进行IP数据包的转发。设置步骤为(其中的参数依图中所示):
1.对于NE2000兼容的网卡,修改"/etc/rc.d/rc.modules"文件;
/sbin/modprobe ne io=0x300,0x320
/*识别两块网卡*/
2.修改"/etc/rc.d/rc.inetl"文件,设置两网卡的IP地址、掩码及到两网卡的路由信息;
IPADDR="202.207.0.27"
NETWORK="202.207.0.0"
BROADCAST="202.207.0.255"
IPADDR1="202.207.7.2"
NETWORK1="202.207.7.0"
BROADCAST1="202.207.7.255"
NETMASK="255.255.255.0"
/sbin/ifconfig eth0 ${IPADDR} broadcast${BROADCAST} netmask${NETMASK}
/sbin/ifconfig eth1 ${IPADDR1} broadcast${BROADCAST1} netmask${NETMASK}
/sbin/route add-net ${NETWORK} netmask${NETMASK} eth0
/sbin/route add-net ${NETWORK1} netmask ${NETMASK} eth1
3.修改"/etc/rc.d/rc.inet2"文件,打开关于"Routed Server"的注释,使其可以与其它路由器交换路由信息,并转发IP数据包。
## Start the Routed server
if[-f ${NET}/routed];then
echo -n"routed"
${NET}/routed -g -s
/*启动程序*/
fi
4.在"/etc/lilo.conf"文件中增加一行,使其在启动时识别第二块网卡。
append="ether=0,0x320,ethl"
完成上面的设置后,应重新启动计算机,系统会识别到两块网卡,并按照"/etc/rc.d/ rc.intel"文件中的说明对网卡的IP地址、掩码进行设置。启动完成后,以超级用户root 的身份进入系统,键入下面的命令即可看到关于网卡和路由的信息。
#ifconfig /*显示网卡的详细信息*/
#route
/*显示系统的路由表*/
　　我们公司曾将某公司机房局域网内的PC通过Linux路由器与本地教育网相接,并进一步通过本地教育网进入Internet。此外,笔者又在Linux路由器上配置了防火墙。实践证明,防火墙有效地 控制住了公司内部人员对非法IP地址的访问,并成功地记录下每个IP地址的网络流量,为计费和网 管提供了依据。Linux的防火墙配置可以通过简单的命令逐条进行,也可编写shell程序放 到系统的启动目录下自动执行。其命令格式非常简单,现举例如下:
#ipfwadm -A
/*对通过路由器的所有数据包进行计帐*/
#ipfwadm -I -a accept -S 162.105.0.0/16
/*接受来自162.105.0.0网络的所有数据包*/
#ipfwadm -I -a deny -S 159.226.0.0/16
/*丢掉来自159.226.0.0网络的所有数据包/
#ipfwadm -O -a reject -S 210.32.0.0/12
/*丢掉发往210.32.0.0网络的所有数据包,并发送拒绝信息包给请求者*/
配置用户可根据实际需要进行防火墙的配置,以达到期望的效果。 或者在安全中介商的协助下完成安全配置。

Answer 4

看本版的精华，有很多这样子的文章了。

Answer 5

我配置的比精华里的选项还要多，就是想知道商业版的linux firewall通常会做哪些特殊的处理，除了重写代码。

Answer 6

原帖由 wgmaster 于 2005-11-14 17:20 发表
我配置的比精华里的选项还要多，就是想知道商业版的linux firewall通常会做哪些特殊的处理，除了重写代码。

多半重写了代码，把不需要的东西去掉。

Answer 7

原帖由 wgmaster 于 2005-11-14 17:20 发表
就是想知道商业版的linux firewall通常会做哪些特殊的处理

没有特殊处理

Answer 8

原帖由 HonestQiao 于 2005-11-14 17:22 发表
多半重写了代码，把不需要的东西去掉。

Linux 用的是 netfilter，netfilter 属于 kernel 的一部分
RH 没有兴趣碰 kernel 的东西，他们不愿意给自己增加额外的负担，虽然他们有这个技术实力

Answer 9

原帖由 platinum 于 2005-11-14 17:22 发表

没有特殊处理

不会吧，一点都不处理啊？