با سلام و خسته نباشید ...
من میخوام از اسکن شدن پورت ها جلوگیری کنم . برای همین منظور از rule های زیر استفاده میکنم...ولی وقتی با nmap تست میکنم سریع شناسایی میکنه :
کد :
iptables -A INPUT -m recent --name portscan --rcheck --seconds 300 -j DROP
iptables -A FORWARD -m recent --name portscan --rcheck --seconds 300 -j DROP
ممنون میشم مواقص کارم رو بگید و اگر بتونید کمک کنید تا به نتیجه برسم ....
چون اسم لیست را گذاشتید portscan دلیل نمیشه خودش بفهمه که جلوی پورت اسکن را بگیره. باید شرطی مشخص کنید. یکی از پورت هایی که می دونید سرویسی روش راه نمی اندازید ولی به احتمال زیاد توی پورت اسکن هست را به عنوان شرط رول انتخاب کنید و بعد هم بگید فلا مدت نتونه وصل بشه. نمونه زیر به عنوان مثال
کد :
iptables -A INPUT -p tcp --dport 139 -m recent --name portscan --set -j DROP
iptables -A INPUT -m recent --name portscan --rcheck --seconds 86400 -j DROP
برای اینکه با نحوه استفاده از ماژول recent آشنا بشید به لینک زیر مراجعه کنید
<!-- m --><a class="postlink" href="http://www.frozentux.net/iptables-tutorial/chunkyhtml/x2702.html#RECENTMATCH">http://www.frozentux.net/iptables-tutor ... ECENTMATCH</a><!-- m -->
سلام..ممنون دوست عزیز..چکش میکنم...
ی سوال دارم...ببینید الان میاد میگه اگر پورت ۱۳۹ چک شد و بعدش ی پورت دیگه برای ی روز هر ارتباطی رو بلاک کن؟
داره میگه وقتی من پورت ۱۳۹ را باز ندارم، کسی که می یاد سرک میکشه حتما داره فضولی می کنه که به احتمال زیاد portscan هست. پس برای یه روز دسترسی اش را ببند.
این یه نگاه ساده است که البته می تونه درصد تشخیص اشتباه بالایی داشته باشه. شاید بشه بهش فکر کرد و الگوریتم مناسبی پیدا کرد.
درسته...خوب میخوام بدونم عکس العملش چیه دقیقا؟
یعنی اینکه تمام پورتها رو میبندهیا فقط همون پورت رو برا ی روز میبنده یا اینکه میشه به باقی پورت ها هم وصل شد؟
من میخوام مثلا اگر با nmap پورته ام اسکن میشه طرف رکار بمونه برای چند روزی...
باقی پورتها رو نتونه چک کنه...
ممنون از لطفتون
آره دیگه کلا آی پی بلاک می شه. گفتم نحوه عملکرد recent را بخون برای همین
ببخشید من مزاحم میشم...
آقا این جواب نمیده .... باز هم بلافاصصله بعد ازینکه میذارم با nmap چک میشه...میتونم ssh بزنم....با اینکه زمان رو روی 300 ثانیه گذاشتم...(بی حمت کمک کنید..هرچند این روش رو گذاشم دیگه آخرین راه)
می شه دستور nmap را که می زنی بزاری اینجا
مثلا :
کد :
nmap -sV ip -p 1-65535
nmap -sV -PN ip -p 1-65535
و ....
راستش من اون مثال را برای نمونه گفتم. شما یه کاری بکن:
یه wireshark راه بنداز ببین حالت ها مختلف اسکن که نوع بسته ای می فرستند و بعد اون نوع بسته را drop کن این طوری بهتره
شاید توی این حالب با role ای که ما نوشتیم match نمی شه
ممنون...ایده ی خوبی بود راه انداختن wireshark...روش کار میکنم.ممنون
اما من بدون نوشتن اسکریپت آیا میتونم به iptables بگم که مثلا فلان پورت ها اگر چک شدن تو بیا و دراپ کن....
ببین شما بجای دستور اول که گفتم می تونی چندین مدلش را بزاری هر کدوم با یه پورت یا پروتکل متفاوت