论坛风格切换切换到宽版
发帖 回复
返回列表
  • 1560阅读
  • 7回复

[问题求助]公网的服务器如何禁止别人扫描端口 [复制链接]

 上一主题 下一主题
离线asovo.
初中三年级
 
发帖
1976
C币
-139519
威望
347
贡献值
1
银元
-1
铜钱
4346
人人网人气币
0
只看楼主 倒序阅读 使用道具 楼主  发表于: 2009-05-01
用nmap -A -T4 公司域名.   可以扫描服务器的端口,如果不让别人扫描,.有什么方法。iptables如何实现。.
评价一下你浏览此帖子的感受

精彩
感动
搞笑
开心
愤怒
无聊
灌水
回复
举报
分享到 淘江湖 新浪 QQ微博 QQ空间 开心 人人 豆瓣 网易微博 百度 鲜果 白社会 飞信
离线pon1pon.
初中三年级
发帖
2175
C币
-313393
威望
404
贡献值
3
银元
-3
铜钱
4936
人人网人气币
0
只看该作者 沙发  发表于: 2010-04-13
所谓扫描,不外是 依次对各个port进行访问。。。既然tcp+udp有 65535x2 个port可用,那么为了扫描的速度,注定了该扫描ip短时间内会有很多对该服务器的tcp/udp请求。目前关于对udp的请求限制模块似乎还没有,但是tcp是有的。。。  

不晓得以上知识能否给你提供一点灵感
回复
举报
离线南芝恋.
初中三年级
发帖
2174
C币
-262562
威望
390
贡献值
1
银元
-1
铜钱
4808
人人网人气币
0
只看该作者 板凳  发表于: 2010-04-13
nmap相当精明
只能尽量减少对公网开的端口
把访问未开端口的包统统DROP掉
打足补丁
回复
举报
离线junbao99.
初中三年级
发帖
2069
C币
-152526
威望
375
贡献值
1
银元
-2
铜钱
4703
人人网人气币
0
只看该作者 地板  发表于: 2010-04-13


QUOTE:原帖由 skylove 于 2006-8-21 21:02 发表
所谓扫描,不外是 依次对各个port进行访问。。。既然tcp+udp有 65535x2 个port可用,那么为了扫描的速度,注定了该扫描ip短时间内会有很多对该服务器的tcp/udp请求。目前关于对udp的请求限制模块似乎还没有,但是 ...

skylove 朋友,那就是说udp端口是没法阻止别人扫描的,tcp的话用 -p tcp --syn -m connlimit 来阻止过多联接吗?  还有就是safedead 朋友说的,只打开要用的那些端口,把不用的全部drop。

[ 本帖最后由 huanghaojie 于 2006-8-22 10:31 编辑 ]
回复
举报
离线红拂夜奔.
初中三年级
发帖
1977
C币
-152657
威望
342
贡献值
1
银元
0
铜钱
4441
人人网人气币
0
只看该作者 4楼 发表于: 2010-04-13


QUOTE:原帖由 huanghaojie 于 2006-8-22 10:30 发表

skylove 朋友,那就是说udp端口是没法阻止别人扫描的,tcp的话用 -p tcp --syn -m connlimit 来阻止过多联接吗?  还有就是safedead 朋友说的,只打开要用的那些端口,把不用的全部drop。


除了上面提到的,另外还可以以彼之道,还施其身。。。白金的反弹防火墙里有用法,不妨看看。
回复
举报
离线acmilanajax.
初中三年级
发帖
2104
C币
-593911
威望
388
贡献值
3
银元
-1
铜钱
4730
人人网人气币
0
只看该作者 5楼 发表于: 2010-04-13
反弹不可取,可能被别人恶意利用为跳板。
回复
举报
离线lzzsgsb.
初中三年级
发帖
2008
C币
-262851
威望
381
贡献值
7
银元
3
铜钱
4528
人人网人气币
0
只看该作者 6楼 发表于: 2010-04-13


QUOTE:原帖由 JohnBull 于 2006-8-22 11:41 发表
反弹不可取,可能被别人恶意利用为跳板。

同感
把真正的 target 放到自己伪造数据包的 source 中就完蛋了。。。
回复
举报
离线woofwoof.
初中三年级
发帖
2259
C币
-235050
威望
413
贡献值
1
银元
-2
铜钱
5026
人人网人气币
0
只看该作者 7楼 发表于: 2010-04-13
目前 iptables 有個 module 為 psd, 也就是提供該功能的偵測處理使用.

   psd

       Attempt to detect TCP and UDP port scans. This match was  derived  from

       Solar Designer's scanlogd.



       --psd-weight-threshold threshold

              Total weight of the latest TCP/UDP packets with different desti-

              nation ports coming from the same host to  be  treated  as  port

              scan sequence.



       --psd-delay-threshold delay

              Delay  (in  hundredths of second) for the packets with different

              destination ports coming from the same host  to  be  treated  as

              possible port scan subsequence.



       --psd-lo-ports-weight weight

              Weight  of the packet with privileged (<=1024) destination port.



       --psd-hi-ports-weight weight

              Weight of the packet with non-priviliged destination port.
复制代码

==
回复
举报
发帖 回复
返回列表
快速回复
限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
上一个 下一个