假设我知道本地主机上的某个 IP(例如 192.168.0.3)正在对我执行 nmap 扫描(或执行脚本)。是否可以使用 tcpkill 停止扫描?
答案1
不。
据我了解,tcpkill可以杀死一个活动的 TCP 会话。但是,端口扫描:
- 不仅使用TCP,还使用UDP;
- 为其扫描的每个端口打开一个单独的连接。它必须——连接被定义为两个特定的 IP/端口套接字对之间。
- 通常,除了 SYN/ACK 握手来查看是否有端口正在侦听之外,不会执行更多操作,然后断开连接并移至下一个端口。
很可能,当您看到连接尝试netstat并能够尝试告诉您tcpkill对此采取措施时,portscan 已经完成了它的工作。
通过手动或自动阻止 IP iptables,我觉得这是一个更好的选择。