常看到有人乱使用 port scan 软件,(ex:nmap) 来乱扫他人的 port,
实在很讨厌 @_@
这里提供几个方式,透过 linux kernel 2.4 的新核心机制 + iptables
来进行一些设限:
# NMAP FIN/URG/PSH iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP # Xmas Tree iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL ALL -j DROP # Another Xmas Tree iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP # Null Scan(possibly) iptables -A INPUT -i eth0 -p tcp --tcp-flags ALL NONE -j DROP # SYN/RST iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,RST SYN,RST -j DROP # SYN/FIN -- Scan(possibly) iptables -A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP |
主机时,可以把这些封包丢弃不处理。那对方一扫就卡死了,或者是
要等联机 timeout 才能够继续工作,拉长 scan 所需的时间。