Bloquear Nmap

josehenriquerj
(usa Red Hat)

Enviado em 04/12/2012 - 10:44h

Grandes, preciso saber como bloquear todo tipo de scan de Nmap, mas SEM bloquear pings.
Alguém saberia informar?

saitam
(usa Slackware)

Enviado em 04/12/2012 - 10:51h

Use o PSAD (Port Scan Attack Detector)

danniel-lara
(usa Fedora)

Enviado em 04/12/2012 - 10:53h

O Nmap é uma ferramenta em que podemos enganar os firewalls com muita facilidade, você até pode fazer este bloqueio pelo iptables, mas creio que não durará muito tempo. O ideal é utilizar o snort para este fim, pois trata-se de um software que tem também funções específicas para detecção de port-scan.

saitam
(usa Slackware)

Enviado em 04/12/2012 - 11:08h

Bloquear Nmap com iptables as vezes o resultado mostra falso positivo, devido a heurística do Nmap, segue...

PSAD (Port Scan Attack Detector) e Snort são mais recomendados!

# Protecao contra port scanners

iptables -N SCANNER

iptables -A SCANNER -j DROP

iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -i $ifaceExt -j SCANNER

iptables -A INPUT -p tcp --tcp-flags ALL NONE -i $ifaceExt -j SCANNER

iptables -A INPUT -p tcp --tcp-flags ALL ALL -i $ifaceExt -j SCANNER

iptables -A INPUT -p tcp --tcp-flags ALL FIN,SYN -i $ifaceExt -j SCANNER

iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -i $ifaceExt -j SCANNER

iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -i $ifaceExt -j SCANNER

iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -i $ifaceExt -j SCANNER

 

http://mundodacomputacaointegral.blogspot.com.br/2012/05/entendendo-o-funcionamento-de-um.html

josehenriquerj
(usa Red Hat)

Enviado em 04/12/2012 - 17:41h

Fico muito grato a todos pelas informações!

Saitam, eu já havia utilizado estes procedimentos, mas bloqueiam ping. Vamos tentar o PSAD. Será que funciona mesmo ? rs