我已经使用iptables阻止所有基本的nmap扫描,通过在INPUT链中做出规则,如果在10秒内从特定ip发送的数据包的数量超过特定的限制,则将该IP放入黑名单中,并拒绝进一步的数据包。 这样的nmap SYN隐形攻击,SYN连接,UDP和所有其他基本扫描都被阻止了现在我想阻止nmap圣诞扫描。 有人可以告诉我该怎么做。
我写了以下规则:
$ iptables -A INPUT -m状态 – 状态新-m最近–set –name新
$ iptables -A INPUT -m最近 – 更新 – 秒10 – 小计5 – 特长 – 名新NEW -j DROP
提前致谢
你能更具体地说明你configuration的规则吗?
正如你所描述的那样,它会阻止一个X-mas扫描; 一个像圣诞树一样点亮的数据包仍然是一个“从特定IP发送”的数据包 – 但是如果这确实是你如何设置你的规则,那么你可能会无意中禁止主机发送合法的stream量违反规定的比率。
不要在默默无闻的情况下投入大量的精力。 您的服务向互联网开放,扫描程序可以简单地减慢扫描速度以挫败您的速率限制,也可以在该程序块启动前随机点击开放端口。 阻止扫描不能替代保护您的服务。
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j LOG --log-prefix "XMAS A: " iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP iptables -A INPUT -p tcp --tcp-flags ALL FIN,PSH,URG -j LOG --log-prefix "XMAS B: " iptables -A INPUT -p tcp --tcp-flags ALL FIN,PSH,URG -j DROP iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j LOG --log-prefix "XMAS C: " iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP nmap -sX发送我上面的圣诞节typesB(我刚刚做了“typesB”)。
典型的圣诞节是typesA.
显然你可以添加时间限制的东西。