IP表捕获圣诞扫描/空扫描

时间:2013-03-30 11:15:13

标签: firewall iptables nmap

我试图使用以下规则来进行圣诞扫描和空扫描但是在测试时我已经检查了我的日志而无法找到前缀?

iptables -A INPUT -p tcp --tcp-flags ALL ALL -j LOG --log-prefix "DROPPED XMAS PACKET:" 
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j LOG --log-prefix "DROPPED NULL PACKET:"
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP

我有什么问题,或者我错过了什么?

1 个答案:

答案 0 :(得分:0)

根据Nmap man page,Null扫描将发送没有设置标志的数据包,并且Xmas扫描将发送一个设置了FIN,PSH和URG标志的数据包。您对空扫描的匹配看起来应该有效,但您的Xmas规则应该是:

 iptables -A INPUT -p tcp --tcp-flags ALL FIN,PSH,URG -j LOG --log-prefix "DROPPED XMAS PACKET:"

此外,这些数据包不会成为已建立的TCP会话的一部分,也不会建立一个。因此,由于您使用-A(追加)来添加规则,因此您的规则集中可能会有一条规则丢弃这些数据包。