当前位置: 技术问答>linux和unix
端口扫描求讲解
来源: 互联网 发布时间:2016-12-01
本文导语: 网上的例子: 防止各种端口扫描 iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT 问题: --tcp-flags SYN,ACK,FIN,RST RST 这段怎么解? | man理由有说, 前面这个SYN,ACK,FIN,RST...
网上的例子:
防止各种端口扫描
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
问题:
--tcp-flags SYN,ACK,FIN,RST RST 这段怎么解?
防止各种端口扫描
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
问题:
--tcp-flags SYN,ACK,FIN,RST RST 这段怎么解?
|
man理由有说,
前面这个SYN,ACK,FIN,RST 是说,去要检查的的所有标记为位的掩码,就是不管你是 syn 还是ack还是fin 还是rst的都需要检查。
后面这个RST这个是满足要求的标志,就是说有了这个标志,这个匹配就通过了,就做后面那个ACCEPT规则了。
SYN,ACK,FIN,RST 都是tcp的网络包的flag。
简单的说,新建连接时 包有syn 这个标记,正常通讯时有ack标志,正常断开连接fin标记, rst是非正常断开标记。
整条规则,只有 rst的包才允许通过, syn标志那些都没有被允许,所以别人无法新建到这个tcp的连接和正常通讯,也就无法知道这个机器上tcp端口是不是开放的。所有就是禁止扫描了?
前面这个SYN,ACK,FIN,RST 是说,去要检查的的所有标记为位的掩码,就是不管你是 syn 还是ack还是fin 还是rst的都需要检查。
后面这个RST这个是满足要求的标志,就是说有了这个标志,这个匹配就通过了,就做后面那个ACCEPT规则了。
SYN,ACK,FIN,RST 都是tcp的网络包的flag。
简单的说,新建连接时 包有syn 这个标记,正常通讯时有ack标志,正常断开连接fin标记, rst是非正常断开标记。
整条规则,只有 rst的包才允许通过, syn标志那些都没有被允许,所以别人无法新建到这个tcp的连接和正常通讯,也就无法知道这个机器上tcp端口是不是开放的。所有就是禁止扫描了?
您可能感兴趣的文章:
本站(WWW.)旨在分享和传播互联网科技相关的资讯和技术,将尽最大努力为读者提供更好的信息聚合和浏览方式。
本站(WWW.)站内文章除注明原创外,均为转载、整理或搜集自网络。欢迎任何形式的转载,转载请注明出处。
本站(WWW.)站内文章除注明原创外,均为转载、整理或搜集自网络。欢迎任何形式的转载,转载请注明出处。