论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2011-05-18 17:12 |只看该作者 |倒序浏览

看网上的用iptables防端口扫描方法如下:
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

用一个Scanport.exe小工具试了一下, 发现该扫出来的端口全都扫出来了, 用wireshak抓包一看, 发现这个小工具是同时起十几个线程发TCP链接向目标机器的各个端口发送SYN请求,
如果目标机器在某个端口有监听服务, 则直接TCP三次握手服务建立TCP链接, 然后立马发包进行TCP四次分手断开链接, 从而判断目标机器此端口提供了服务.

因此网上提供的那个iptables防端口扫描规则, 对这个端口扫描工具完全无效
要完全杜绝这类端口扫描是不可能的, 毕竟要端口提供服务, 只想请教各位大牛们, 如何能有效防止这类工具的端口扫描?
想了好几天, 头皮都麻了, 还是想不到好方法.

文库|博客

GNU520

白手起家

论坛徽章:: 0

2楼 [报告]

发表于 2011-09-02 09:43 |只看该作者

顶，我也在分析这个问题，按顺序执行
iptables -I ANTIATTACK -p tcp --tcp-flags SYN,ACK,FIN,RST RST -r 100 -j DROP
iptables -I ANTIATTACK -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -r 100 -j ACCEPT
第二条规则能显示有包，为什么第一条不能拒绝包呀