A partir de um relatório da Trustwave, estamos tentando definir nosso servidor para bloquear esse tipo de solicitação, mas depois de tentar várias combinações de regras, ainda podemos ver as portas.
Alguém poderia me dar uma dica ou o conjunto de regras necessárias para bloquear essa solicitação?
Estou usando nmap --scanflags SYN,FIN xxx.xxx.xxx.xxx para testar se o iptables está bloqueando ou não.
Esta regra corresponderá se o sinalizador syn estiver definido
iptables -A BLOCK -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -j DROP
E este corresponderá para a bandeira FIN
iptables -A BLOCK -p tcp --tcp-flags SYN,ACK,FIN,RST FIN -j DROP
observe que você precisará ajustar isso, já que a regra syn impedirá conexões TCP de entrada para o seu dispositivo, talvez definir a porta específica que você deseja bloquear?
Eu uso algo para evitar este ataque SYN. Não tenho certeza se é um correto para o seu caso, mas você pode dar uma olhada. Eu conto pedidos por segundo e bloqueio IPs com mais de X (no meu caso 20) pedidos em 1 segundo. Funciona para mim.
iptables -I INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --update --seconds 1 --hitcount 20 -j DROP
Acesse meu Wiki da comunidade: Dicas e & iptables do iptables Truques
Especialmente a seguinte "resposta": Answer # 245713
Por favor, note que para o bloqueio ser eficaz, ele deve ser colocado em -t raw -A PREROUTING
Existe um documento intitulado "Detectando e enganando varreduras de rede" na rede, que aborda isso com detalhes analíticos e encontra os parâmetros de bloqueio ideais.