Linux环境下发现并阻止系统攻击

1.一个以"."起始的域名串，如.amms.ac.cn那么www.amms.ac.cn就和这一项匹配成功

2. 以'.'结尾的IP串如 202.37.152. 那么IP地址包括202.37.152. 的主机都与这一项匹配

3.格式为n.n.n.n/m.m.m.m表示网络/掩码，如果请求服务的主机的IP地址与掩码的位与的结果等于n.n.n.n 那么该主机与该项匹配。

4. ALL表示匹配所有可能性

5. EXPECT表示除去后面所定义的主机。如:list_1 EXCEPT list_2 表示list_1主机列表中除去List_2所列 出的主机

6. LOCAL表示匹配所有主机名中不包含'.'的主机 上面的几种方式只是Linux提供的方式中的几种，但是对于我们的一般应用来说是足够了。

我们通过举几 个例子来说明这个问题：

例一：我们只希望允许同一个局域网的机器使用服务器的ftp功能，而禁止副广域网上面的ftp服务请求， 本地局域网由 202.39.154. 、202.39.153. 和202.39.152. 三个网段组成。在hosts.deny文件中， 我们定义禁止所有机器请求所有服务： ALL:ALL 在hosts.allow文件中，我们定义只允许局域网访问ftp功能： in.ftpd -l -a: 202.39.154 202.39.153. 202.39.152. 这样，当非局域网的机器请求ftp服务时，就会被拒绝。而局域网的机器可以使用ftp服务。 ALL:ALL 然后重新启动你的 inetd进程： /etc/rc.d/init.d/inet restart但是hosts.deny文件只能控制/etc/inetd.conf文件中包含的服务的访问这些服务有/usr/bin/tcpd管理。TCPwrapper监听接入的网络请求，然后与在hosts.allow和hosts.deny的中的服务比较，然后做出允许或拒绝的决定。但是对于wrapper没有包含的服务你就需要采用其他方法了