我正在尝试将来自 nmap 的所有扫描重定向到另一个目的地。我正在尝试 IPTABLES,但我不知道如何将 nmap 扫描与合法流量区分开来。
它是可以通过 IPTABLES 实现的,还是我应该去其他地方看看?
AskOverflow.Dev
我正在尝试将来自 nmap 的所有扫描重定向到另一个目的地。我正在尝试 IPTABLES,但我不知道如何将 nmap 扫描与合法流量区分开来。
它是可以通过 IPTABLES 实现的,还是我应该去其他地方看看?
iptables是内核网络数据包过滤框架Netfilter的用户级接口(实用程序)。
Netfilter 只是一个数据包过滤器,它过滤您设置的过滤器。它查看数据包字节,检查设置了哪些端口、地址和其他选项,并决定如何处理数据包。它只是一个包一个包地做到这一点,几乎不参考以前看到的包。在连接跟踪器的帮助下,它有时可以判断数据包是后续数据包还是与其他数据包相关,将它们全部指定为连接,这已经是相当复杂的了。它还可以使用预定义的规则(包括网络地址转换)修改数据包。但这几乎是所有 Netfilter 单独设计的功能。
你在说什么,检测端口扫描,它是检测某些流量模式的一种非常不同的任务。逐包查看或仅查看连接是不够的。您必须考虑流量的大量快照才能看到模式。这是完全不同类型的软件的工作,通常是入侵检测系统(IDS) 和流量分析器。有一些开源的,比如 Snort,并且有很多这种商业系统。
而且,正如您可能已经猜到的那样,这些都是非常复杂且……不精确的探测器。在这方面你不能准确。这 5000 台计算机在短时间内查询机器上 65000 个不同端口的概率很低,但不为零;如果这是合法流量或扫描,总是存在一些不确定性。我想,这种流量扫描检测是最容易注意到的一种模式。还有许多其他情况更难分辨,更容易在 IDS 周围隐藏和潜行。这是他们相互竞争的领域,谁做的检测更好,检测到的异常更正确,误报更少,因此检测算法通常是他们最有价值的知识产权。
最后,当与包过滤结合使用时,IDS 可能成为入侵防御系统(IPS)。例如,您可以将其设置为当它认为检测到扫描时在 Netfilter 中安装一条规则,这将阻止来自这些 IP 地址的进一步操作。但是单独的 Netfilter 不是 IPS,它不进行检测,因此您无法实现目标也就不足为奇了。
一些杀毒软件自认为很聪明,扮演着“穷人IPS”的角色。他们通常这样做很糟糕,在我看来,这带来的问题多于解决的问题。
主要问题是:你为什么需要它?这些扫描对你有什么不好?我换一种说法:假设有人扫描您机器上的端口。他们很可能会发现几乎没有端口在回复,或者大多数回复是“端口不可达”。这有什么问题?