找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 7272|回复: 12

[其它] ROS防扫描和简单攻击能达到这功能不?如图示(firewall模块改进)

[复制链接]
发表于 2007-9-11 16:23:57 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×

ros防扫描和简单攻击能达到这功能不?如图示(firewall模块改进........................)手写..




1.ROS问题:非法用户不停扫描我的ROS能防止端口扫描么?-多实在的问题呀
2..............


[ 本帖最后由 cracks 于 2007-9-11 16:50 编辑 ]
1.JPG
2.JPG
3.JPG
4.JPG
5.JPG
6.JPG
7.JPG
8.JPG
9.JPG
10.JPG
routeros
 楼主| 发表于 2007-9-11 16:26:38 | 显示全部楼层
有些功能是可以配置出来,不过能配置出几个,请大家进一步跟贴。共10项防护。
这套防御系统还是不错的。这10种行为基本无机会入网。


[ 本帖最后由 cracks 于 2007-9-11 18:38 编辑 ]
11.JPG
routeros
回复

使用道具 举报

 楼主| 发表于 2007-9-11 17:14:18 | 显示全部楼层
如何拒绝端口扫描(只提到了tcp的,先定位上图中的"3")
 
如何拒绝端口扫描
为保护路由器不受端口扫描的探测,我们可以记录下试图探测你的IP,并使用IP地址列表记录下,然后拒绝这些IP访问。
在/ip firewall filter
add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="Port scanners to list " disabled=no
TCP flags的各种端口扫描表现组合情况:
add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP FIN Stealth scan"

add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list="port scanners"address-list-timeout=2w comment="SYN/FIN scan"

add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list="port scanners"address-list-timeout=2w comment="SYN/RST scan"

add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="FIN/PSH/URG scan"

add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="ALL/ALL scan"

add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP NULL scan"
这里丢弃那些试图探测你的IP地址:
add chain=input src-address-list="port scanners" action=drop comment="dropping port scanners" disabled=no
同样,你也可以丢弃通过路由器探测内网的IP,将这些规则用到forward链表中,但要把该规则放到forward规则之上。

[ 本帖最后由 cracks 于 2007-9-11 17:25 编辑 ]

Scanner.rar

760 Bytes, 下载次数: 123

routeros
回复

使用道具 举报

发表于 2007-9-11 17:37:02 | 显示全部楼层
这软件能与ros结合吗?
routeros
回复

使用道具 举报

发表于 2007-9-11 18:18:38 | 显示全部楼层
呵呵。。。不是说有这个图示功能就一定能防的,要看攻击的原理,那有这么傻瓜式的东西。。。
这些只不过防标准的普通攻击而已
routeros
回复

使用道具 举报

发表于 2007-9-12 08:22:56 | 显示全部楼层
Drop port scanners
From MikroTik Wiki
Jump to: navigation, search
To protect the Router from port scanners, we can record the IPs of hackers who try to scan your box. Using this address list we can drop connection from those IP

in /ip firewall filter

add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners"
address-list-timeout=2w comment="Port scanners to list " disabled=no
Various combinations of TCP flags can also indicate port scanner activity.

add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
action=add-src-to-address-list address-list="port scanners"
address-list-timeout=2w comment="NMAP FIN Stealth scan"
add chain=input protocol=tcp tcp-flags=fin,syn
action=add-src-to-address-list address-list="port scanners"
address-list-timeout=2w comment="SYN/FIN scan"
add chain=input protocol=tcp tcp-flags=syn,rst
action=add-src-to-address-list address-list="port scanners"
address-list-timeout=2w comment="SYN/RST scan"
add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
action=add-src-to-address-list address-list="port scanners"
address-list-timeout=2w comment="FIN/PSH/URG scan"
add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
action=add-src-to-address-list address-list="port scanners"
address-list-timeout=2w comment="ALL/ALL scan"
add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
action=add-src-to-address-list address-list="port scanners"
address-list-timeout=2w comment="NMAP NULL scan"
Then you can drop those IPs:

add chain=input src-address-list="port scanners" action=drop comment="dropping port scanners" disabled=no
Similarly, you can drop these port scanners in the forward chain, but using the above rules with "chain=forward".

Retrieved from "http://wiki.mikrotik.com/wiki/Drop_port_scanners"
routeros
回复

使用道具 举报

发表于 2007-9-12 15:59:37 | 显示全部楼层
楼上的看上去好像是ISA
再有就是这才是好的防火墙策略,以前贴那些什么封端口啦,没有啥实际意义
顶你一下, 楼主
routeros
回复

使用道具 举报

发表于 2007-9-12 16:13:15 | 显示全部楼层
敢问楼主的图示是什么防火墙?超强!·············
routeros
回复

使用道具 举报

 楼主| 发表于 2007-9-15 15:49:55 | 显示全部楼层
回楼上的,这不是isa
routeros
回复

使用道具 举报

发表于 2007-9-15 17:29:47 | 显示全部楼层
楼主,什么墙?
routeros
回复

使用道具 举报

发表于 2007-9-16 02:45:55 | 显示全部楼层
这图的设备功能一般啊,感觉就一表面而己........至少也得弄占PIX515的上来
routeros
回复

使用道具 举报

 楼主| 发表于 2007-10-7 12:53:56 | 显示全部楼层
这是个实用的功能,确实可以防住x-scan  流光类的扫描工具 .
routeros
回复

使用道具 举报

发表于 2007-10-8 19:39:35 | 显示全部楼层
不错,看看
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-11-16 17:49 , Processed in 0.076595 second(s), 5 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表