IPtables:DNS查询是否有一个最小的UDP数据包大小?

IPtables为虚拟专用服务器。

我想阻止UDP扫描,我想知道DNS查找是否有最小数据包大小?

Nmap发送0字节的UDP数据包(来源: http : //nmap.org/bennieston-tutorial/ ),但可能有可用的工具可以添加几个字节。

另外,我不太明白nmap的UDP数据包如何可以是0字节。

限制的大小可能不是你想要做的。 使用Nmap作为示例扫描程序,请注意,使用–data-length选项攻击者可以使用任意长度的数据包。 另外,正如我在下面评论你的问题,Nmap使用有效载荷为39最常见的UDP端口,以请求有效载荷。 更不用说有些协议允许甚至要求服务器响应一个空的数据包。

不要绝望,但。 iptables可以做很多事情,让想要扫描你的人生活困难。 UDP扫描是非常困难的,因为在大多数情况下,成功条件(开放端口)为负(无响应)。 Linux已经将封闭端口响应(ICMP端口不可达消息)速率限制为每秒一次,这使得扫描速度更慢。 这里有一些想法:

  • 使用DROP目标而不是REJECT会显着减慢扫描速度。
  • 为您不使用的常见UDP目标端口添加LOG目标,然后经常检查日志
  • 使用limithashlimit limit匹配模块来设置合理连接速率的上限。 不过要小心,否则你会阻止合法访问。
  • 最后,认识到端口扫描发生。 如果一个对手知道你已经打开了什么端口,那就花点时间保护你的服务,而不是试验创造性的iptables规则。

另外,我不太明白nmap的UDP数据包如何可以是0字节。

有效载荷的0个字节。 该数据包仍然具有IP和UDP标头。

我想知道是否有一个DNS查询的最小数据包大小?

那么,让我们看一下http://www.netfor2.com/dns.htm,因为这比RFC更容易阅读。

每个八位字节是一个字节,所以我们有:

  • 标题:12
  • 问题4(类和loggingtypes字节)+至less1(被查询的域),所以5 +

因此,进入服务器的数据包应至less有17个字节的有效载荷 + IP,UDP和链路协议头。