IPtables为虚拟专用服务器。
我想阻止UDP扫描,我想知道DNS查找是否有最小数据包大小?
Nmap发送0字节的UDP数据包(来源: http : //nmap.org/bennieston-tutorial/ ),但可能有可用的工具可以添加几个字节。
另外,我不太明白nmap的UDP数据包如何可以是0字节。
限制的大小可能不是你想要做的。 使用Nmap作为示例扫描程序,请注意,使用–data-length选项攻击者可以使用任意长度的数据包。 另外,正如我在下面评论你的问题,Nmap使用有效载荷为39最常见的UDP端口,以请求有效载荷。 更不用说有些协议允许甚至要求服务器响应一个空的数据包。
不要绝望,但。 iptables可以做很多事情,让想要扫描你的人生活困难。 UDP扫描是非常困难的,因为在大多数情况下,成功条件(开放端口)为负(无响应)。 Linux已经将封闭端口响应(ICMP端口不可达消息)速率限制为每秒一次,这使得扫描速度更慢。 这里有一些想法:
DROP
目标而不是REJECT
会显着减慢扫描速度。 limit
和hashlimit
limit
匹配模块来设置合理连接速率的上限。 不过要小心,否则你会阻止合法访问。 另外,我不太明白nmap的UDP数据包如何可以是0字节。
有效载荷的0个字节。 该数据包仍然具有IP和UDP标头。
我想知道是否有一个DNS查询的最小数据包大小?
那么,让我们看一下http://www.netfor2.com/dns.htm,因为这比RFC更容易阅读。
每个八位字节是一个字节,所以我们有:
因此,进入服务器的数据包应至less有17个字节的有效载荷 + IP,UDP和链路协议头。