虚拟专用服务器的 IPtables。
我想阻止 UDP 扫描,并且想知道 DNS 查找是否有最小数据包大小?
Nmap发送0字节UDP数据包(来源:http://nmap.org/bennieston-tutorial/),但可能有可用的工具允许您添加几个字节。
另外,我不太明白 nmap 的 UDP 数据包怎么会是 0 字节。
答案1
按大小进行限制可能不是您想要做的。使用网络地图作为示例扫描器,请注意,使用 --data-length 选项,攻击者可以使用任意长度的数据包。此外,正如我在您的问题下方评论的那样,Nmap 使用 39 个最常见 UDP 端口的有效负载来请求负载。更不用说某些协议允许甚至要求服务器响应空数据包。
不过,不要绝望。iptables 可以做很多事情来让想要扫描您的人感到困难。UDP 扫描非常困难,因为在大多数情况下,成功条件(开放端口)是否定的(无响应)。Linux 已经将关闭端口响应(ICMP 端口不可达消息)的速率限制为每秒一次,这使得扫描速度更慢。以下是一些想法:
- 使用
DROP目标而不是REJECT会显著减慢扫描速度。 - 为您不使用的常见 UDP 目标端口添加 LOG 目标,然后经常检查日志
- 使用
limit和hashlimit匹配模块来设置合理连接速率的上限。不过,使用这些模块时要小心,否则您将阻止合法访问。 - 最后,要意识到端口扫描是会发生的。如果对手知道你打开了哪些端口,你就完蛋了,那么就把时间花在保护你的服务上,而不是尝试创造性的 iptables 规则。
答案2
另外,我不太明白 nmap 的 UDP 数据包怎么会是 0 字节。
0 字节有效负载。数据包仍具有 IP 和 UDP 标头。
我想知道 DNS 查找是否有最小数据包大小?
好吧,让我们来看看http://www.netfor2.com/dns.htm因为它比 RFC 更容易阅读。
每个八位字节都是一个字节,因此我们得到:
- 标题:12
- 问题 4(类和记录类型字节)+至少 1(正在查询的域),因此 5+
因此,进入服务器的任何数据包都应该至少 17 个字节的有效载荷+ IP、UDP 和链接协议标头。