Eu tenho um servidor Ubuntu, existem serviços públicos em algumas portas, incluem TCP e UDP, e tentando protegê-lo contra o scanner de porta (TCP e UDP). O bloco do scanner TCP é feito usando o módulo "recente" do iptables, que detecta e lista negra do scanner de portas TCP. O caminho do scanner da porta UDP é diferente do TCP. AFAIK, método de scanner UDP é: pacote UDP enviado para todas as portas (UDP) no servidor de destino S, se a porta P estiver fechada, S retornará um código de erro ICMP "port-unreachable", o invasor saberá que a porta está fechada e as portas abertas (existem) estão dentro das portas restantes. Se não houver resposta de S, o invasor assumirá que a porta P está aberta de filtragem por firewall, o que lhe custou muito tempo para ser distinguido. A partir desta pista, penso em duas ideias:
- Bloqueie o ICMP em todas as portas, exceto minhas portas de serviço.
- Bloqueie qualquer porta UDP, exceto minha porta de serviços.
Eu não sou especialista em prevenção de ataques. Existe alguma maneira de bloquear a verificação da porta UDP sem afetar a operação normal das portas de serviço?