免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
12下一页
最近访问板块 发新帖
查看: 3615 | 回复: 13

[网络管理] 请教个TCP NMAP扫描的问题 [复制链接]

论坛徽章:
0
发表于 2009-12-23 11:12 |显示全部楼层
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j LOG -m limit --limit 120/minute --log-prefix “bad package”
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP

解释是:
这是针对一些像是使用 scan 软件,配合所谓的 Stealth 等机制去乱扫他人主机时,可以把这些封包丢弃不处理。那对方一扫就卡死了,或者是要等联机 timeout 才能够继续工作,拉长 scan 所需的时间。


对方扫描你的机器会什么会卡死啊?即使卡,也应该卡的是到此服务器的连接吧?为什么会影响其他链接?想不明白。。。请教下大家,谢谢!

论坛徽章:
0
发表于 2009-12-23 13:32 |显示全部楼层
又沉了。。。顶上去

论坛徽章:
0
发表于 2009-12-23 16:57 |显示全部楼层
顶上去。。。。

论坛徽章:
0
发表于 2009-12-23 22:23 |显示全部楼层

回复 #1 yumanifold 的帖子

对方来扫,你把对方的包都drop了,对方不知道是被你drop了,就会不停的尝试发包给你,这样就卡住了对方的程序。对你来说,采取了正确的drop而不是reject,所以没有影响,不会被卡。

一般来说,对于外来的连接,尽量采取drop策略,对于内网的连接,可以采取reject策略。reject可以善意的提醒对方,但同时会卡自己,如果对方也采取drop的话,那就进入死循环了。

[ 本帖最后由 gaokai 于 2009-12-23 22:25 编辑 ]

论坛徽章:
0
发表于 2009-12-24 16:38 |显示全部楼层

回复 #4 gaokai 的帖子

首先,谢谢您的回答。

还有点不清楚的就是,当A(发起扫描的机器)去扫描B(被扫描机器,即我的服务器)。A的扫描包不断的被我DROP掉,A就不断的重发包进行尝试,这样会卡死他的程序?为什么A此时上其他网上也受影响了,而且是只影响到新建连接,已建立的连接则不受影响。或者应该说,只是卡死他的新建连接?

论坛徽章:
0
发表于 2009-12-25 10:21 |显示全部楼层
顶上去。。。

论坛徽章:
0
发表于 2009-12-25 12:20 |显示全部楼层

论坛徽章:
0
发表于 2009-12-26 23:55 |显示全部楼层
顶上去

论坛徽章:
0
发表于 2009-12-27 19:09 |显示全部楼层
原帖由 yumanifold 于 2009-12-24 16:38 发表
首先,谢谢您的回答。

还有点不清楚的就是,当A(发起扫描的机器)去扫描B(被扫描机器,即我的服务器)。A的扫描包不断的被我DROP掉,A就不断的重发包进行尝试,这样会卡死他的程序?为什么A此时上其他网上 ...


个人观点不一定正确。我觉得系统都有一个最大并发连接数,当然有办法可以更改,但一般不会太高。每个新建的连接都会消耗一定的系统资源。随着扫描程序的卡死,系统的资源也在逐步消耗。当新建连接达到最大连接数的时候(如果系统还有资源可以分配的话),就无法建立新连接,旧的自然不会影响。或者还没达到最大连接数时资源已经耗的差不多,整个系统陷入迟钝状态。

论坛徽章:
0
发表于 2009-12-28 16:21 |显示全部楼层
只能怀疑到新建连接数的限制了。。。


有哪位高人能解答一下???

[ 本帖最后由 yumanifold 于 2009-12-28 23:07 编辑 ]
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP