Чтобы заблокировать сканеры портов в Linux, я нашел некоторые правила в iptables для блокировки IP-адреса злоумышленника.
Эти правила работают правильно, они блокируют злоумышленника и записывают IP-адрес злоумышленника в файл kernel.log.
Возникает вопрос, почему эти правила блокируют порт TCP 139 (net-bios), чтобы предотвратить нападение? Я прошел через захват трафика, и нет никаких свидетельств того, что nmap
начинает сканирование порта с порта 139 по TCP.
iptables -A INPUT -m recent --name portscan --rcheck --seconds 86400 -j DROP
iptables -A FORWARD -m recent --name portscan --rcheck --seconds 86400 -j DROP
iptables -A INPUT -m recent --name portscan --remove
iptables -A FORWARD -m recent --name portscan --remove
iptables -A INPUT -p tcp -m tcp --dport 139 -m recent --name portscan --set -j LOG --log-prefix "portscan:"
iptables -A INPUT -p tcp -m tcp --dport 139 -m recent --name portscan --set -j DROP
iptables -A FORWARD -p tcp -m tcp --dport 139 -m recent --name portscan --set -j LOG --log-prefix "portscan:"
iptables -A FORWARD -p tcp -m tcp --dport 139 -m recent --name portscan --set -j DROP
നെറ്റ്ബിയോസ് ഒരു ലാൻ പ്രോട്ടോക്കോൾ ആണ്, ഒരു WAN പ്രോട്ടോക്കോൾ അല്ല, ഇന്റർനെറ്റ് അഭിമുഖീകരിക്കുന്ന സിസ്റ്റത്തിലെ ആ പോർട്ടിലെ ട്രാഫിക് എല്ലായ്പ്പോഴും സംശയാസ്പദമാണ് / അസാധുവാണ്.
അതിനാൽ നിങ്ങളുടെ ട്രാഫിക് ഒരു വിദൂര സിസ്റ്റം നിങ്ങളുടെ ഇന്റർനെറ്റ് സെർവറിൽ ക്രമരഹിതമായ പോർട്ടുകൾ അന്വേഷിക്കുന്നുവെന്നതിന്റെ സൂചനയായി ഉപയോഗിക്കാം. ഒരൊറ്റ അസാധുവായ തുറമുഖത്തെ ട്രാഫിക് ഒരു പോർട്ട്സ്കാന് തുല്യമാണെന്ന യുക്തി അൽപ്പം തെറ്റാണെങ്കിലും എന്റെ അഭിപ്രായത്തിൽ.