ฉันกำลังพยายามเปลี่ยนเส้นทางการสแกนทั้งหมดที่มาจาก nmap ไปยังปลายทางอื่น ฉันกำลังลองใช้ IPTABLES แต่ฉันไม่รู้ว่าจะแยกการสแกน nmap ออกจากทราฟฟิกที่ถูกกฎหมายได้อย่างไร
เป็นสิ่งที่ทำได้ผ่าน IPTABLES หรือฉันควรมองหาที่อื่น
iptables เป็นอินเทอร์เฟซระดับผู้ใช้ (ยูทิลิตี) ไปยังเฟรมเวิร์กการกรองแพ็กเก็ตเครือข่ายเคอร์เนล เน็ตฟิลเตอร์.
Netfilter เป็นเพียงตัวกรองแพ็กเก็ต โดยจะกรองสิ่งที่คุณตั้งค่าให้กรอง โดยจะพิจารณาเป็นแพ็คเก็ตไบต์ ตรวจสอบว่าพอร์ต ที่อยู่ ตัวเลือกอื่นๆ ใดถูกตั้งค่าไว้ และตัดสินใจว่าจะทำอย่างไรกับแพ็กเก็ต มันทำอย่างนั้นง่ายๆ แพ็คเก็ตโดยแพ็คเก็ตทำให้แทบไม่มีการอ้างอิงถึงแพ็กเก็ตที่เห็นก่อนหน้านี้ ด้วยความช่วยเหลือของตัวติดตามการเชื่อมต่อ บางครั้งสามารถบอกได้ว่าแพ็กเก็ตนั้นเป็นการติดตามหรือเกี่ยวข้องกับแพ็กเก็ตอื่น ๆ โดยกำหนดให้ทั้งหมดเป็น การเชื่อมต่อนี้ค่อนข้างซับซ้อนอยู่แล้ว นอกจากนี้ยังอาจแก้ไขแพ็กเก็ตโดยใช้กฎที่กำหนดไว้ล่วงหน้า (รวมถึงการแปลที่อยู่เครือข่าย) แต่นี่เป็นเกือบทั้งหมดที่ Netfilter เพียงอย่างเดียวได้รับการออกแบบมาให้ใช้งานได้
สิ่งที่คุณกำลังพูดถึง การตรวจจับการสแกนพอร์ต มันเป็นงานที่แตกต่างอย่างมากในการตรวจจับรูปแบบการรับส่งข้อมูลบางอย่างการดูแพ็กเก็ตต่อแพ็กเก็ตหรือการเชื่อมต่อเพียงอย่างเดียวไม่เพียงพอ คุณต้องพิจารณาภาพรวมของการเข้าชมเพื่อดูรูปแบบ และนี่คืองานของซอฟต์แวร์ประเภทต่างๆ โดยสิ้นเชิง ก ระบบตรวจจับการบุกรุก (IDS) และตัววิเคราะห์ทราฟฟิกโดยทั่วไป มีโอเพ่นซอร์สบางอย่างเช่น Snort และมีระบบการค้าประเภทนั้นมากมาย
และอย่างที่คุณคาดเดา สิ่งเหล่านี้เป็นเครื่องตรวจจับที่ซับซ้อนและ... คุณไม่สามารถแน่นอนในพื้นที่นี้ ความน่าจะเป็นที่คอมพิวเตอร์ 5,000 เครื่องกำลังสอบถามพอร์ตต่างๆ 65,000 พอร์ตบนเครื่องในช่วงเวลาสั้นๆ นั้นต่ำมาก แต่ไม่ใช่ศูนย์ มีความไม่แน่นอนอยู่เสมอว่านั่นคือทราฟฟิกที่ถูกต้องหรือการสแกน และการตรวจจับการสแกนการจราจรนี้เป็นหนึ่งในรูปแบบที่ง่ายที่สุดในการสังเกต มีอีกหลายกรณีซึ่งยากที่จะบอกได้และง่ายกว่าที่จะซ่อนและแอบดู IDS นี่คือสนามที่พวกเขาแข่งขันกันว่าใครตรวจจับได้ดีกว่า ตรวจพบสิ่งผิดปกติได้ถูกต้องกว่าและผลบวกลวงน้อยกว่า ดังนั้นอัลกอริทึมการตรวจจับจึงมักเป็นทรัพย์สินทางปัญญาที่มีค่าที่สุด
ในที่สุด IDS อาจกลายเป็น ระบบป้องกันการบุกรุก (IPS) เมื่อรวมกับการกรองแพ็คเก็ต ตัวอย่างเช่น คุณอาจตั้งค่าให้ติดตั้งกฎใน Netfilter เมื่อคิดว่าตรวจพบการสแกน ซึ่งจะป้องกันการดำเนินการเพิ่มเติมจากที่อยู่ IP เหล่านี้ แต่ Netfilter เพียงอย่างเดียวไม่ใช่ IPS ไม่มีการตรวจจับ ดังนั้นจึงไม่น่าแปลกใจที่คุณล้มเหลวในการบรรลุเป้าหมาย
ซอฟต์แวร์ป้องกันไวรัสบางตัวคิดว่าตัวเองฉลาดและรับบทบาทเป็น "IPS for theยากจน" พวกเขามักจะทำสิ่งนี้ค่อนข้างแย่ และในความคิดของฉัน สิ่งนี้แนะนำปัญหามากกว่าการแก้ปัญหา
คำถามหลักคือ: ทำไม คุณต้องการที่? อะไรที่ไม่ดีในการสแกนเหล่านั้นสำหรับคุณ? ฉันพูดเป็นอย่างอื่น: สมมติว่ามีคนสแกนพอร์ตบนเครื่องของคุณ มีโอกาสมากที่พวกเขาจะพบว่าแทบไม่มีพอร์ตใดตอบกลับเลย หรือคำตอบส่วนใหญ่คือ "ไม่สามารถเข้าถึงพอร์ตได้"แล้วเกิดอะไรขึ้นกับสิ่งนี้?
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
