知識產權表捕捉聖誕掃描/空掃描

Question

即時通訊嘗試使用下面的規則可以聖誕節掃描和空掃描然而當測試我已檢查我的日誌，無法找到前綴？

iptables -A INPUT -p tcp --tcp-flags ALL ALL -j LOG --log-prefix "DROPPED XMAS PACKET:" 
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j LOG --log-prefix "DROPPED NULL PACKET:" 
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP 

iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP 

我得到了什麼錯，或者我錯過了什麼？

Answer 1

根據Nmap man page，空掃描將發送沒有設置標誌的數據包，並且Xmas掃描將發送FIN，PSH和URG標誌設置的數據包。您的空掃描的比賽看起來像它應該工作，但你的聖誕規則應該是：

iptables -A INPUT -p tcp --tcp-flags ALL FIN,PSH,URG -j LOG --log-prefix "DROPPED XMAS PACKET:" 

而且，這些數據包將不會是一個建立的TCP會話的一部分，也不會樹立一個。出於這個原因，您可能在規則集的早期規則中刪除了這些數據包，因爲您正在使用-A（追加）來添加規則。