2008/12/15 doby nurcahyo <[email protected]>: > Saya ga begitu mudeng dengan iptables, apakah dengan cara ini bisa > block port scanner (nmap, dst) bang?. > Terimakasih sekali lagi.
Mas Doby banyak resource di Internet untuk belajar TCP/IP :-) Kalau saya jelasin di sini bisa dua malam gak kelar-kelar :-D Sebagai permulaan, cara komputer berinteraksi satu dengan yang lain dengan TCP connection mempunyai provisi yang khusus yang disebut 3-way handshake (well, there is also 4-way handshake actually). 1. (B) --> [SYN] --> (A) SYN=synchronize 2. (B) <-- [SYN/ACK] <--(A) SYN/ACK=synchronize/acknowledge 3. (B) --> [ACK] --> (A) Flag akan ditandai (bit set) pada paket untuk mengetahui apakah paket tersebut SYN, SYN/ACK, ACK dll. Firewall akan menganalisa setiap paket tersebut. Kalau suatu paket tidak melalui proses ini patut dicurigai kalau paket itu adalah paket yang jahat :-) Firewall bekerja dengan mengawasi mulai dibukanya koneksi tersebut dengan memperhatikan apakah suatu paket diawali deng SYN bit set pada awal koneksi dan selanjutnya memiliki ACK bit set setelah acknowledgement pada langkah ke-tiga. Port scanning biasanya dilakukan dengan apa yg disebut Xmas packet (kombinasi FIN/URG/PSH [0]), SYN/RST atau RST/SYN, SYN/FIN atau FIN/SYN, null packet (ALL atau NONE), FIN scan (FIN/ACK atau FIN). Script yang saya tulis di email sebelumnya memerintahkan iptables untuk me-log paket-paket tersebut dan men-drop nya. Silakan dicoba, anda set iptables anda dan setelah itu lakukan scanning dengan nmap, dan cek apa berhasil di drop. Tentunya jangan berharap ini adalah sebuah "silver bullet", banyak sekali orang pandai di luar sana. Waktu ada Google summer code kemarin udah ada yang nyempurnain nmap lho :-D [0] FIN = finish, URG=urgent, PSH=push, RST=reset salam, medwinz -- Bob Hope - "I don't feel old. I don't feel anything till noon. That's when it's time for my nap." _______________________________________________ milis mailing list [email protected] http://lists.opensuse-id.org/listinfo.cgi/milis-opensuse-id.org
