- 論壇徽章:
- 0
|
看網(wǎng)上的用iptables防端口掃描方法如下:
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
用一個Scanport.exe小工具試了一下, 發(fā)現(xiàn)該掃出來的端口全都掃出來了, 用wireshak抓包一看, 發(fā)現(xiàn)這個小工具是同時起十幾個線程發(fā)TCP鏈接向目標機器的各個端口發(fā)送SYN請求,
如果目標機器在某個端口有監(jiān)聽服務(wù), 則直接TCP三次握手服務(wù)建立TCP鏈接, 然后立馬發(fā)包進行TCP四次分手斷開鏈接, 從而判斷目標機器此端口提供了服務(wù).
因此網(wǎng)上提供的那個iptables防端口掃描規(guī)則, 對這個端口掃描工具完全無效
要完全杜絕這類端口掃描是不可能的, 畢竟要端口提供服務(wù), 只想請教各位大牛們, 如何能有效防止這類工具的端口掃描?
想了好幾天, 頭皮都麻了, 還是想不到好方法. |
|
免費注冊
發(fā)表于 2011-05-18 17:12
