iptables防端口扫描的一些疑问, 请大牛帮帮忙

发布于 2022-10-15 06:38:54 字数 564 浏览 23 评论 0

看网上的用iptables防端口扫描方法如下:
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

    用一个Scanport.exe小工具试了一下, 发现该扫出来的端口全都扫出来了,  用wireshak抓包一看, 发现这个小工具是同时起十几个线程发TCP链接向目标机器的各个端口发送SYN请求,
    如果目标机器在某个端口有监听服务, 则直接TCP三次握手服务建立TCP链接, 然后立马发包进行TCP四次分手断开链接, 从而判断目标机器此端口提供了服务.

    因此网上提供的那个iptables防端口扫描规则, 对这个端口扫描工具完全无效
    要完全杜绝这类端口扫描是不可能的, 毕竟要端口提供服务,  只想请教各位大牛们, 如何能有效防止这类工具的端口扫描?  
    想了好几天, 头皮都麻了, 还是想不到好方法.

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(4

长亭外,古道边 2022-10-22 06:38:54

顶,我也在分析这个问题,按顺序执行
iptables -I ANTIATTACK -p tcp --tcp-flags SYN,ACK,FIN,RST RST -r 100 -j DROP
iptables -I ANTIATTACK -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -r 100 -j ACCEPT
第二条规则能显示有包,为什么第一条不能拒绝包呀

凡尘雨 2022-10-22 06:38:54

怎么没人回答呀

久而酒知 2022-10-22 06:38:54

看来这个帖子比较冷清

温暖的光 2022-10-22 06:38:54

回复 4# GNU520

    有下文吗?

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文