portscan protection
|
2012-11-13, 04:31 PM,
ارسال : #1
|
|||
|
|||
portscan protection
با سلام و خسته نباشید ...
من میخوام از اسکن شدن پورت ها جلوگیری کنم . برای همین منظور از rule های زیر استفاده میکنم...ولی وقتی با nmap تست میکنم سریع شناسایی میکنه : کد : iptables -A INPUT -m recent --name portscan --rcheck --seconds 300 -j DROP ممنون میشم مواقص کارم رو بگید و اگر بتونید کمک کنید تا به نتیجه برسم .... <!-- m --><a class="postlink" href="http://net-ict.blogfa.com/">http://net-ict.blogfa.com/</a><!-- m --> اللهم عجل لولیک الفرج |
|||
2012-11-17, 11:47 PM,
ارسال : #2
|
|||
|
|||
Re: portscan protection
چون اسم لیست را گذاشتید portscan دلیل نمیشه خودش بفهمه که جلوی پورت اسکن را بگیره. باید شرطی مشخص کنید. یکی از پورت هایی که می دونید سرویسی روش راه نمی اندازید ولی به احتمال زیاد توی پورت اسکن هست را به عنوان شرط رول انتخاب کنید و بعد هم بگید فلا مدت نتونه وصل بشه. نمونه زیر به عنوان مثال
کد : iptables -A INPUT -p tcp --dport 139 -m recent --name portscan --set -j DROP Don't bother, we're using GNU/Linux everywhere, even there Linuxmotto گروه کاربران لینوکس اصفهان |
|||
2012-11-17, 11:49 PM,
ارسال : #3
|
|||
|
|||
Re: portscan protection
برای اینکه با نحوه استفاده از ماژول recent آشنا بشید به لینک زیر مراجعه کنید
<!-- m --><a class="postlink" href="http://www.frozentux.net/iptables-tutorial/chunkyhtml/x2702.html#RECENTMATCH">http://www.frozentux.net/iptables-tutor ... ECENTMATCH</a><!-- m --> Don't bother, we're using GNU/Linux everywhere, even there Linuxmotto گروه کاربران لینوکس اصفهان |
|||
2012-11-19, 08:24 AM,
ارسال : #4
|
|||
|
|||
Re: portscan protection
سلام..ممنون دوست عزیز..چکش میکنم...
<!-- m --><a class="postlink" href="http://net-ict.blogfa.com/">http://net-ict.blogfa.com/</a><!-- m --> اللهم عجل لولیک الفرج |
|||
2012-11-20, 08:47 AM,
ارسال : #5
|
|||
|
|||
Re: portscan protection
ی سوال دارم...ببینید الان میاد میگه اگر پورت ۱۳۹ چک شد و بعدش ی پورت دیگه برای ی روز هر ارتباطی رو بلاک کن؟
<!-- m --><a class="postlink" href="http://net-ict.blogfa.com/">http://net-ict.blogfa.com/</a><!-- m --> اللهم عجل لولیک الفرج |
|||
2012-11-20, 09:15 AM,
ارسال : #6
|
|||
|
|||
Re: portscan protection
داره میگه وقتی من پورت ۱۳۹ را باز ندارم، کسی که می یاد سرک میکشه حتما داره فضولی می کنه که به احتمال زیاد portscan هست. پس برای یه روز دسترسی اش را ببند.
این یه نگاه ساده است که البته می تونه درصد تشخیص اشتباه بالایی داشته باشه. شاید بشه بهش فکر کرد و الگوریتم مناسبی پیدا کرد. Don't bother, we're using GNU/Linux everywhere, even there Linuxmotto گروه کاربران لینوکس اصفهان |
|||
2012-11-20, 09:53 AM,
ارسال : #7
|
|||
|
|||
Re: portscan protection
درسته...خوب میخوام بدونم عکس العملش چیه دقیقا؟
یعنی اینکه تمام پورتها رو میبندهیا فقط همون پورت رو برا ی روز میبنده یا اینکه میشه به باقی پورت ها هم وصل شد؟ من میخوام مثلا اگر با nmap پورته ام اسکن میشه طرف رکار بمونه برای چند روزی... باقی پورتها رو نتونه چک کنه... ممنون از لطفتون <!-- m --><a class="postlink" href="http://net-ict.blogfa.com/">http://net-ict.blogfa.com/</a><!-- m --> اللهم عجل لولیک الفرج |
|||
2012-11-20, 11:04 AM,
ارسال : #8
|
|||
|
|||
Re: portscan protection
آره دیگه کلا آی پی بلاک می شه. گفتم نحوه عملکرد recent را بخون برای همین
Don't bother, we're using GNU/Linux everywhere, even there Linuxmotto گروه کاربران لینوکس اصفهان |
|||
2012-11-26, 02:26 PM,
ارسال : #9
|
|||
|
|||
Re: portscan protection
ممنون دوست خوبم
<!-- m --><a class="postlink" href="http://net-ict.blogfa.com/">http://net-ict.blogfa.com/</a><!-- m --> اللهم عجل لولیک الفرج |
|||
2012-11-27, 03:12 PM,
ارسال : #10
|
|||
|
|||
Re: portscan protection
ببخشید من مزاحم میشم...
آقا این جواب نمیده .... باز هم بلافاصصله بعد ازینکه میذارم با nmap چک میشه...میتونم ssh بزنم....با اینکه زمان رو روی 300 ثانیه گذاشتم...(بی حمت کمک کنید..هرچند این روش رو گذاشم دیگه آخرین راه) <!-- m --><a class="postlink" href="http://net-ict.blogfa.com/">http://net-ict.blogfa.com/</a><!-- m --> اللهم عجل لولیک الفرج |
|||
2012-11-27, 10:31 PM,
ارسال : #11
|
|||
|
|||
Re: portscan protection
می شه دستور nmap را که می زنی بزاری اینجا
Don't bother, we're using GNU/Linux everywhere, even there Linuxmotto گروه کاربران لینوکس اصفهان |
|||
2012-11-29, 02:41 PM,
ارسال : #12
|
|||
|
|||
Re: portscan protection
مثلا :
کد : nmap -sV ip -p 1-65535 <!-- m --><a class="postlink" href="http://net-ict.blogfa.com/">http://net-ict.blogfa.com/</a><!-- m --> اللهم عجل لولیک الفرج |
|||
2012-11-29, 04:20 PM,
ارسال : #13
|
|||
|
|||
Re: portscan protection
راستش من اون مثال را برای نمونه گفتم. شما یه کاری بکن:
یه wireshark راه بنداز ببین حالت ها مختلف اسکن که نوع بسته ای می فرستند و بعد اون نوع بسته را drop کن این طوری بهتره شاید توی این حالب با role ای که ما نوشتیم match نمی شه Don't bother, we're using GNU/Linux everywhere, even there Linuxmotto گروه کاربران لینوکس اصفهان |
|||
2012-11-29, 06:25 PM,
ارسال : #14
|
|||
|
|||
Re: portscan protection
ممنون...ایده ی خوبی بود راه انداختن wireshark...روش کار میکنم.ممنون
اما من بدون نوشتن اسکریپت آیا میتونم به iptables بگم که مثلا فلان پورت ها اگر چک شدن تو بیا و دراپ کن.... <!-- m --><a class="postlink" href="http://net-ict.blogfa.com/">http://net-ict.blogfa.com/</a><!-- m --> اللهم عجل لولیک الفرج |
|||
2012-11-29, 10:44 PM,
ارسال : #15
|
|||
|
|||
Re: portscan protection
ببین شما بجای دستور اول که گفتم می تونی چندین مدلش را بزاری هر کدوم با یه پورت یا پروتکل متفاوت
Don't bother, we're using GNU/Linux everywhere, even there Linuxmotto گروه کاربران لینوکس اصفهان |
|||
2012-12-01, 09:47 AM,
ارسال : #16
|
|||
|
|||
Re: portscan protection
سپاس از شما دوست عزیز
<!-- m --><a class="postlink" href="http://net-ict.blogfa.com/">http://net-ict.blogfa.com/</a><!-- m --> اللهم عجل لولیک الفرج |
|||
|