是否可以僅使用 IPtables 攔截 nmap 掃描?
我正在嘗試將來自 nmap 的所有掃描重定向到另一個目的地。我正在嘗試 IPTABLES,但我不知道如何將 nmap 掃描與合法流量區分開來。
它是可以通過 IPTABLES 實現的,還是我應該去其他地方看看?
iptables是核心網路數據包過濾框架**Netfilter的使用者級介面(實用程序)。
Netfilter 只是一個數據包過濾器,它過濾您設置的過濾器。它查看數據包字節,檢查設置了哪些埠、地址和其他選項,並決定如何處理數據包。它只是一個包一個包地做到這一點,幾乎不參考以前看到的包。在連接跟踪器的幫助下,它有時可以判斷數據包是後續數據包還是與其他數據包相關,將它們全部指定為連接,這已經是相當複雜的了。它還可以使用預定義的規則(包括網路地址轉換)修改數據包。但這幾乎是所有 Netfilter 單獨設計的功能。
你在說什麼,檢測埠掃描,它是檢測某些流量模式的一種非常不同的任務。逐包查看或僅查看連接是不夠的。您必須考慮流量的大量快照才能看到模式。這是完全不同類型的軟體的工作,通常是入侵檢測系統(IDS) 和流量分析器。有一些開源的,比如 Snort,並且有很多這種商業系統。
而且,正如您可能已經猜到的那樣,這些都是非常複雜且……不精確的探測器。在這方面你不能準確。這 5000 台電腦在短時間內查詢機器上 65000 個不同埠的機率很低,但不為零;如果這是合法流量或掃描,總是存在一些不確定性。我想,這種流量掃描檢測是最容易注意到的一種模式。還有許多其他情況更難分辨,更容易在 IDS 周圍隱藏和潛行。這是他們相互競爭的領域,誰做的檢測更好,檢測到的異常更正確,誤報更少,因此檢測算法通常是他們最有價值的智慧財產權。
最後,當與包過濾結合使用時,IDS 可能成為*入侵防禦系統(IPS)。*例如,您可以將其設置為當它認為檢測到掃描時在 Netfilter 中安裝一條規則,這將阻止來自這些 IP 地址的進一步操作。但是單獨的 Netfilter 不是 IPS,它不進行檢測,因此您無法實現目標也就不足為奇了。
一些防毒軟體自認為很聰明,扮演著“窮人IPS”的角色。他們通常這樣做很糟糕,在我看來,這帶來的問題多於解決的問題。
主要問題是:你為什麼需要它?這些掃描對你有什麼不好?我換一種說法:假設有人掃描您機器上的埠。他們很可能會發現幾乎沒有埠在回复,或者大多數回復是“埠不可達”。這有什麼問題?