Судя по отчету Trustwave, мы пытаемся настроить наш сервер так, чтобы он блокировал этот тип запроса, но, попробовав несколько комбинаций правил, мы все еще можем видеть порты.
Может ли кто-нибудь дать мне подсказку или набор необходимых правил для блокировки этого запроса?
я использую nmap --scanflags SYN,FIN xxx.xxx.xxx.xxx
чтобы проверить, блокирует ли iptables или нет.
Это правило будет соответствовать, если установлен флаг синхронизации
iptables -A BLOCK -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -j DROP
И этот будет соответствовать флагу FIN
iptables -A BLOCK -p tcp --tcp-flags SYN,ACK,FIN,RST FIN -j DROP
обратите внимание, что вам нужно будет настроить это, так как правило синхронизации вообще предотвращает входящие TCP-соединения для вашего устройства, возможно, установите конкретный порт, который вы хотите заблокировать?
Я использую что-то, чтобы предотвратить эту SYN-атаку. Не уверен, что он подходит для вашего случая, но вы можете взглянуть. Я считаю запросы в секунду и блокирую IP-адреса с более чем X (в моем случае 20) запросами за 1 секунду. Работает для меня.
iptables -I INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --update --seconds 1 --hitcount 20 -j DROP
Зайдите в мою вики сообщества: iptables Советы и хитрости
Особенно следующий «ответ»: Ответ № 245713
Обратите внимание, чтобы блокировка была эффективной, ее необходимо разместить в -t raw -A PREROUTING
В сети есть документ под названием «Обнаружение и ввод в заблуждение сетевых сканирований», который подробно описывает это и находит оптимальные параметры блокировки.