nmap
私の機械の監視を完全に防ぐことはできますか?ポートスキャンを介してすべての着信接続を削除すると、iptables
「フィルタリング済み」が返されます。nmapがどのポートが存在するかをまったく見ることができない場合は、より良いでしょう。。可能ですか?
次の解決策が機能しないようです。
https://dangertux.wordpress.com/2011/09/18/defeating-port-scans-using-iptables/
http://prithak.blogspot.de/2011/12/blocking-nmap-scans-with-pf-and.html
nmapが自分のデバイスを見るのを防ぐことができない場合は、nmapが自分のIPを完全にスキャンするのに長い時間がかかるように速度を制限できますか?
ベストアンサー1
速度制限に達すると、nmapはスキャン待ち時間を増やすので、単純な速度制限では十分ではありません。 iptablesの最良の用途は次のとおりです。
まず、IPset リストを作成します。
ipset create port_scanners hash:ip family inet hashsize 32768 maxelem 65536 timeout 600
ipset create scanned_ports hash:ip,port family inet hashsize 32768 maxelem 65536 timeout 60
と iptables ルール
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -m state --state NEW -m set ! --match-set scanned_ports src,dst -m hashlimit --hashlimit-above 1/hour --hashlimit-burst 5 --hashlimit-mode srcip --hashlimit-name portscan --hashlimit-htable-expire 10000 -j SET --add-set port_scanners src --exist
iptables -A INPUT -m state --state NEW -m set --match-set port_scanners src -j DROP
iptables -A INPUT -m state --state NEW -j SET --add-set scanned_ports src,dst
動作原理:
ここでは、スキャンされたポートをScand_Portsセットに保存し、hashlimitルールに従ってのみ新しいスキャンポートを計算します。スキャナが5つの異なるポートにパケットを送信する場合(--hashlimit-burst 5を参照)、これはおそらくスキャナである可能性が高いため、port_scannersセットに追加します。
port_scannersのタイムアウトはスキャナーのブロック時間です(この例では10分)。攻撃者が10秒間スキャンを停止するまで最初から(--existを参照)計算されます(--hashlimit-htable-expire 10000を参照)。
これらのパラメータを自分に最適な値に設定できます。
誰かがIPをなりすましで「スキャン」してブロックできることに注意してください。ブロックタイムアウトを長く設定しないことをお勧めします。
次に追加:
ホワイトリストを追加するには、ホワイトリストを作成してください。
ipset create whitelisted hash:net
廃棄ルールを変更してみてください。
iptables -A INPUT -m state --state NEW -m set --match-set port_scanners src -m set ! --match-set whitelisted src -j DROP