Chinaunix

标题: 请教个TCP NMAP扫描的问题 [打印本页]

作者: yumanifold 时间: 2009-12-23 11:12
标题: 请教个TCP NMAP扫描的问题
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j LOG -m limit --limit 120/minute --log-prefix “bad package”
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP

解释是：
这是针对一些像是使用 scan 软件，配合所谓的 Stealth 等机制去乱扫他人主机时，可以把这些封包丢弃不处理。那对方一扫就卡死了，或者是要等联机 timeout 才能够继续工作，拉长 scan 所需的时间。

对方扫描你的机器会什么会卡死啊？即使卡，也应该卡的是到此服务器的连接吧？为什么会影响其他链接？想不明白。。。请教下大家，谢谢！

作者: yumanifold 时间: 2009-12-23 13:32
又沉了。。。顶上去

作者: yumanifold 时间: 2009-12-23 16:57
顶上去。。。。

作者: gaokai 时间: 2009-12-23 22:23
标题: 回复 #1 yumanifold 的帖子
对方来扫，你把对方的包都drop了，对方不知道是被你drop了，就会不停的尝试发包给你，这样就卡住了对方的程序。对你来说，采取了正确的drop而不是reject，所以没有影响，不会被卡。

一般来说，对于外来的连接，尽量采取drop策略，对于内网的连接，可以采取reject策略。reject可以善意的提醒对方，但同时会卡自己，如果对方也采取drop的话，那就进入死循环了。

[ 本帖最后由 gaokai 于 2009-12-23 22:25 编辑 ]

作者: yumanifold 时间: 2009-12-24 16:38
标题: 回复 #4 gaokai 的帖子
首先，谢谢您的回答。

还有点不清楚的就是，当A（发起扫描的机器）去扫描B（被扫描机器，即我的服务器）。A的扫描包不断的被我DROP掉，A就不断的重发包进行尝试，这样会卡死他的程序？为什么A此时上其他网上也受影响了，而且是只影响到新建连接，已建立的连接则不受影响。或者应该说，只是卡死他的新建连接？

作者: yumanifold 时间: 2009-12-25 10:21
顶上去。。。

作者: yumanifold 时间: 2009-12-25 12:20
顶

作者: yumanifold 时间: 2009-12-26 23:55
顶上去

作者: gaokai 时间: 2009-12-27 19:09

原帖由 yumanifold 于 2009-12-24 16:38 发表
首先，谢谢您的回答。

还有点不清楚的就是，当A（发起扫描的机器）去扫描B（被扫描机器，即我的服务器）。A的扫描包不断的被我DROP掉，A就不断的重发包进行尝试，这样会卡死他的程序？为什么A此时上其他网上 ...

个人观点不一定正确。我觉得系统都有一个最大并发连接数，当然有办法可以更改，但一般不会太高。每个新建的连接都会消耗一定的系统资源。随着扫描程序的卡死，系统的资源也在逐步消耗。当新建连接达到最大连接数的时候(如果系统还有资源可以分配的话)，就无法建立新连接，旧的自然不会影响。或者还没达到最大连接数时资源已经耗的差不多，整个系统陷入迟钝状态。

作者: yumanifold 时间: 2009-12-28 16:21
只能怀疑到新建连接数的限制了。。。

有哪位高人能解答一下？？？

[ 本帖最后由 yumanifold 于 2009-12-28 23:07 编辑 ]

作者: yumanifold 时间: 2009-12-29 11:30
顶

作者: yumanifold 时间: 2010-01-04 09:50
顶上去

作者: yumanifold 时间: 2010-01-05 16:22
沉了

作者: yumanifold 时间: 2010-01-22 11:53
我发觉我发的帖几乎永远都是没人回复的，晕

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)