iptables防端口扫描的一些疑问, 请大牛帮帮忙
看网上的用iptables防端口扫描方法如下:
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
用一个Scanport.exe小工具试了一下, 发现该扫出来的端口全都扫出来了, 用wireshak抓包一看, 发现这个小工具是同时起十几个线程发TCP链接向目标机器的各个端口发送SYN请求,
如果目标机器在某个端口有监听服务, 则直接TCP三次握手服务建立TCP链接, 然后立马发包进行TCP四次分手断开链接, 从而判断目标机器此端口提供了服务.
因此网上提供的那个iptables防端口扫描规则, 对这个端口扫描工具完全无效
要完全杜绝这类端口扫描是不可能的, 毕竟要端口提供服务, 只想请教各位大牛们, 如何能有效防止这类工具的端口扫描?
想了好几天, 头皮都麻了, 还是想不到好方法.
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(4)
顶,我也在分析这个问题,按顺序执行
iptables -I ANTIATTACK -p tcp --tcp-flags SYN,ACK,FIN,RST RST -r 100 -j DROP
iptables -I ANTIATTACK -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -r 100 -j ACCEPT
第二条规则能显示有包,为什么第一条不能拒绝包呀
怎么没人回答呀
看来这个帖子比较冷清
回复 4# GNU520
有下文吗?