Kri*_*ris 2 domain-name-system iptables udp nmap
虚拟专用服务器的 IPtables。
我想阻止 UDP 扫描,我想知道 DNS 查找是否有最小数据包大小?
Nmap 发送 0 字节 UDP 数据包(来源:http : //nmap.org/bennieston-tutorial/),但可能有可用的工具允许您添加几个字节。
另外,我不太明白 nmap 的 UDP 数据包如何可以是 0 字节。
按大小限制可能不是您想要做的。使用Nmap作为示例扫描器,请注意,使用 --data-length 选项,攻击者可以使用任何长度的数据包。此外,正如我在您的问题下方评论的那样,Nmap 对 39 个最常见的 UDP 端口使用有效负载以请求有效负载。更不用说某些协议允许甚至要求服务器响应空数据包。
不过不要绝望。iptables 可以做很多事情来让想要扫描你的人生活困难。UDP 扫描是出了名的困难,因为在大多数情况下,成功条件(打开端口)是否定的(无响应)。Linux 已经将关闭端口响应(ICMP 端口不可达消息)的速率限制为每秒一个,这使得扫描速度更慢。这里有一些想法:
DROP目标而不是REJECT会显着减慢扫描速度。limit和hashlimit匹配模块设置合理连接速率的上限。但是,请小心这些,否则您将阻止合法访问。| 归档时间: |
|
| 查看次数: |
2206 次 |
| 最近记录: |