抵挡nmap扫描筹划[菜鸟入门]

作者:dominate00

前几天在某bbs里看到有人发帖告急,意思就是自己的服务器采纳什么办法可以抵挡,大概叫做阻断Nmap的扫描.我当时的回帖是自己本领有限,还未理解完好nmap各项功效的原理,所以无法帮上忙.（毕竟这种问题不是查阅一些资料,大概经过对比简单的实际测试便可以得出的结论）

昨天晚上想了一下,nmap扫描的方法无论是TCP还是SYN,半开还是全开,又大概是各种其他越发高级复杂的技术,都要遵守一个原理,那就是成立一次完好的TCP三次握手.因为nmap不像其他仅仅判断端口能否开放的扫描器,它还向用户报告完好的port/service banner.假如没有完好的TCP三次握手,是无法得到banner的.

而nmap的扫描包美满是模拟正常衔接的数据包,也就是说,等于一次完好正常、公道的TCP衔接.服务器要开放服务,就必须开放端口,那么既然开放了端口,就不大概回绝完好正常的衔接.所以,我认为理论上,要想做到既开放服务,又不被nmap扫描出开放了哪些端口,基本是不大概的.

不过可以通过改正各个服务的默许端口及其banner,来造成nmap给利用者报告完好错误的后果.好比一台linux服务器,21端口的vsftpd 2.2.2,banner改成ftp 9.9,那利用者得到的报告基本毫无代价.只知道你21端口是FTP,但ftp软件用的是什么,版本号是多少完好不知道.

硬件防火墙的作用是限制源IP和源端口大概目的IP和目的端口,但总要答应通过正常用户的衔接呀,源IP动态改变,根本不大概限制,源端口也没法.防火墙越发无法辨认nmap或其他扫描器的扫描数据包和正常数据包之间的辨别.所谓的忽视ICMP包的做法也是完好画蛇添足,nmap的一个-PN参数就搞定.

bbs里还有人提到windows自带的ipsec,我的理解ipsec,或是iptables,基本相当于软防.原理就不再反复.关于nmap的扫描是毫无用处的.

所以,只能采纳我所说的倡议.