我不是在说阻塞端口。
我记得find一个主机,当我运行一个正常的TCP扫描nmap hostname ,nmap不会返回任何有意义的结果。 这是超时的问题。 如果我将超时值设置为很低的值,并设置 – --max-retries 0那么它将工作。
有谁知道一个iptables规则集导致nmap的问题?
如果你想防止主机顺时针扫描,你可以使用2种方法:
陷阱方法:
iptables -A INPUT -p tcp -m多端口 – 端口23,79 –tcp-flags ALL SYN -m limit –limit 3 / m –limit-burst 6 -m最近–name黑名单–set -j下降
iptables -A INPUT -m最近–rcheck –nam黑名单-j DROP
正常的方式:
iptables -A INPUT -p tcp –syn -m limit –limit 7 / s -m最近–name黑名单–set -j DROP
iptables -A INPUT -m最近–rcheck –nam黑名单-j DROP
如果你想防止你的主机从FIN,ACK,圣诞节或其他扫描告诉我更新我的答案。
是。 我不记得确切的细节,但从标题“ iptables提示和技巧 ”去寻找一个“问题”(实际上是一个社区维基)。 在那里,你可以find一个特别devise的nmap的iptables规则。
另外,我在INPUT链中部署了一个TARPIT目标。 TARPIT基本上是通过允许TCP三次握手来“捕获”任何试图打开TCP连接的人,但是之后将TCP窗口大小locking为0,并将有关该连接的所有状态都放在防火墙中。 试图打开一个端口的主机现在被困住:连接已经build立,但是它不能发送任何东西,而且由于它从来没有收到一个FIN或一个RST,所以它一直处于TCP-Established状态,直到TCP超时*。 与此同时,防火墙只是快乐地跳起来,因为它已经放弃了连接的所有状态,所以没有使用资源。
两者的结合都成功地阻挡了各种端口扫描器。 当他们碰我的防火墙时,他们死了
* TCP超时 比TCP SYN超时长很多。 IIRC的时间要长三个数量级。 因此,端口扫描器 在线程卡住等待TCP超时时 将运行得非常慢。
你可能会发现这个问题,它描述了如何检测和阻止portscans实时。