请教个TCP NMAP扫描的问题

yumanifold

iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j LOG -m limit --limit 120/minute --log-prefix “bad package”
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP

解释是：
这是针对一些像是使用 scan 软件，配合所谓的 Stealth 等机制去乱扫他人主机时，可以把这些封包丢弃不处理。那对方一扫就卡死了，或者是要等联机 timeout 才能够继续工作，拉长 scan 所需的时间。


对方扫描你的机器会什么会卡死啊？即使卡，也应该卡的是到此服务器的连接吧？为什么会影响其他链接？想不明白。。。请教下大家，谢谢！

yumanifold

又沉了。。。顶上去

yumanifold

顶上去。。。。

gaokai

对方来扫，你把对方的包都drop了，对方不知道是被你drop了，就会不停的尝试发包给你，这样就卡住了对方的程序。对你来说，采取了正确的drop而不是reject，所以没有影响，不会被卡。

一般来说，对于外来的连接，尽量采取drop策略，对于内网的连接，可以采取reject策略。reject可以善意的提醒对方，但同时会卡自己，如果对方也采取drop的话，那就进入死循环了。

[ 本帖最后由 gaokai 于 2009-12-23 22:25 编辑 ]

yumanifold

首先，谢谢您的回答。

还有点不清楚的就是，当A（发起扫描的机器）去扫描B（被扫描机器，即我的服务器）。A的扫描包不断的被我DROP掉，A就不断的重发包进行尝试，这样会卡死他的程序？为什么A此时上其他网上也受影响了，而且是只影响到新建连接，已建立的连接则不受影响。或者应该说，只是卡死他的新建连接？

yumanifold

顶上去。。。

yumanifold

顶

yumanifold

顶上去

gaokai

原帖由 yumanifold 于 2009-12-24 16:38 发表
首先，谢谢您的回答。

还有点不清楚的就是，当A（发起扫描的机器）去扫描B（被扫描机器，即我的服务器）。A的扫描包不断的被我DROP掉，A就不断的重发包进行尝试，这样会卡死他的程序？为什么A此时上其他网上 ...

个人观点不一定正确。我觉得系统都有一个最大并发连接数，当然有办法可以更改，但一般不会太高。每个新建的连接都会消耗一定的系统资源。随着扫描程序的卡死，系统的资源也在逐步消耗。当新建连接达到最大连接数的时候(如果系统还有资源可以分配的话)，就无法建立新连接，旧的自然不会影响。或者还没达到最大连接数时资源已经耗的差不多，整个系统陷入迟钝状态。

yumanifold

只能怀疑到新建连接数的限制了。。。


有哪位高人能解答一下？？？

[ 本帖最后由 yumanifold 于 2009-12-28 23:07 编辑 ]