• # RE bloquer les scans à la nmap avec iptables.

    Posté par  . Évalué à 1.

    Bonjour,

    Le plus simple est de fermer tous les services dont les ports son vu par Nmap, si pas d'utilité bien sur...

    ajouter une régle du type : iptables -A FORWARD -p tcp -tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

    et pourquoi pas un IDS.

    Il est tellement puissant se nmap que je pense pas que l'on puise le bloquer totalement.
    • [^] # Re: RE bloquer les scans à la nmap avec iptables.

      Posté par  (site web personnel) . Évalué à 1.

      La règle je l'avais déjà, meme avec -j BLOCK, ça n'empeche pas nmap de scanner. Sinon pour l'IDS, tu as une recommendation particulière ?
      • [^] # Re: RE bloquer les scans à la nmap avec iptables.

        Posté par  . Évalué à 2.

        sinon, tu peux t'amuser à perturber le scanner en intégrant une succession de limites, genre


        -A INPUT -j smart-drop

        -A smart-drop -m limit --limit 10/min -j DROP
        -A smart-drop -p tcp -m limit --limit 1/sec -j REJECT --reject-with tcp-reset
        -A smart-drop -p udp -m limit --limit 1/sec -j REJECT --reject-with icmp-port-unreachable
        -A smart-drop -m limit --limit 1/min -j REJECT --reject-with icmp-host-prohibited
        -A smart-drop -m limit --limit 10/sec -j DROP
        -A smart-drop -m limit --limit 1/sec -j LOG --log-prefix "POSSIBLE-ATTACK"
        -A smart-drop -j DROP

        En général, ça peut rendre les résultats du scan très incohérents, mais surtout, ça peut ralentir le scan dramatiquement...
    • [^] # Re: RE bloquer les scans à la nmap avec iptables.

      Posté par  . Évalué à 2.

      nmap peut voir tous les ports, pas juste ceux par défaut. Le mieux, c'est de bloquer toutes les requetes ICMP pour le géner un peu (en gros, tout ceux qui ne font pas -P0 ne passeront pas), de faire des DROP sur tous les ports non utilisés, pour le géner un peu plus encore histoire de le laisser timeouter sur chacun de ces ports...

      Après y'a surement des programmes ou scripts bien plus évolués qui permettent de "bannir" une IP dès qu'une tentative de scan est détectée.
      • [^] # Re: RE bloquer les scans à la nmap avec iptables.

        Posté par  . Évalué à 2.

        Bloquer l'ICMP c'est pas beau. Comment vas tu négocier ton MTU ? comment vas tu vérifier que ta machine est toujours 'vivante' ? Comment vas tu obtenir diverses informations renvoyées par l'ICMP qui peuvent te permettre de débugger ta connectivité ?

        l'ICMP aporte quelques informations à l'attaquant, mais ces informations ne sont pas vitales et peuvent être récupérées autrement. En gros tu l'embetes 5minutes, et toi tu peux avoir de gros soucis en cas de problèmes.
  • # Redirection

    Posté par  . Évalué à 1.

    Une technique que j'avais lue dans un MISC, c'est dès que le scan est détecté il est forwardé vers une machine poubelle.
    Pourquois pas forwarder vers une machine virtuelle vmware ?
    • [^] # Re: Redirection

      Posté par  (site web personnel) . Évalué à 1.

      Si je parviens à détecter le scan, pourquoi ne pas droper ? A moins que suite au drop nmap ne relance un autre scan d'une autre manière que je ne détecte pas (tandisque dans le cas du forwarding, il serait simplement trompé). Ai-je vu juste ? Si oui tu peut me dire comment faire cett redirection ?
      • [^] # Re: Redirection

        Posté par  . Évalué à 1.

        Je ne me souvient plus du tout d'ou provient l'article en question. Ce devait être MISC. Sûrement pas Micro Hebdo.
        Je vais faire un petite recherche

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.