abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 08:44 | Nová verze

    RabbitMQ (Wikipedie) byl vydán v nové major verzi 4.0. RabbitMQ je open source messaging a streaming broker napsaný v programovacím jazyce Erlang. Implementuje protokoly AMQP 0-9-1, AMQP 1.0, RabbitMQ Streams, MQTT a STOMP a v HTTP a WebSockets Web STOMP plugin, Web MQTT plugin a management plugin.

    Ladislav Hagara | Komentářů: 0
    včera 20:00 | Nová verze

    Po půl roce vývoje od vydání verze 46 bylo vydáno GNOME 47 s kódovým názvem Denver. Přehled novinek i s náhledy v poznámkách k vydání a v novinkách pro vývojáře. Krátké představení na YouTube.

    Ladislav Hagara | Komentářů: 0
    včera 16:44 | Nová verze

    Svobodná webová platforma pro sdílení a přehrávání videí PeerTube (Wikipedie) byla vydána v nové verzi 6.3. Přehled novinek i s náhledy v oficiálním oznámení a na GitHubu.

    Ladislav Hagara | Komentářů: 0
    včera 13:33 | IT novinky

    Uživatele Windows a Microsoft 365 Business a Enterprise mohou oficiálně používat Python v Excelu. Spolu s knihovnami jako pandas, Matplotlib a NLTK. Jedná se o spolupráci s Anacondou. Microsoft si tento "vynález integrace tabulkových procesorů s externími prostředími" patentoval: US12026560B2. Už před podáním patentu ale mohli uživatelé pro Python v Excelu používat například PyXLL. LibreOffice / OpenOffice.org měl PyUNO.

    Ladislav Hagara | Komentářů: 0
    včera 05:22 | Komunita

    Provoz Mozilla.social, tj. instance Mastodonu provozované Mozillou, bude 17. prosince 2024 ukončen.

    Ladislav Hagara | Komentářů: 9
    včera 05:00 | Nová verze

    Byla vydána nová major verze 6 programovacího jazyka Swift (Wikipedie). Zdrojové kódy jsou k dispozici na GitHubu. Ke stažení jsou oficiální binární balíčky pro Ubuntu 20.04, Ubuntu 22.04, Ubuntu 24.04, Debian 12, Fedora 39, Amazon Linux 2 a Red Hat Universal Base Image 9.

    Ladislav Hagara | Komentářů: 0
    17.9. 19:00 | IT novinky

    Exploze osobních komunikačních zařízení v Libanonu zabily osm lidí, přibližně 2750 lidí je zraněno. Zhruba 200 jich je v kritickém stavu.

    Ladislav Hagara | Komentářů: 45
    17.9. 16:55 | Nová verze

    Byla vydána Java 23 / JDK 23. Nových vlastností (JEP - JDK Enhancement Proposal) je 12. Nová Java / JDK vychází každých 6 měsíců. LTS verze jsou 8, 11, 17 a 21 a bude 25.

    Ladislav Hagara | Komentářů: 2
    17.9. 16:22 | Nová verze

    Byla vydána betaverze Fedora Linuxu 41, tj. poslední zastávka před vydáním finální verze, která je naplánována na úterý 22. října. Z novinek (ChangeSet) lze vypíchnout Valkey místo nesvobodného Redisu, konec Pythonu 2, instalace proprietárních ovladačů Nvidia s podporou Secure Boot, DNF 5, RPM 4.20, KDE Plasma Mobile Spin, LXQt 2.0, …

    Ladislav Hagara | Komentářů: 6
    17.9. 13:11 | IT novinky

    Digitální a informační agentura (DIA) přebírá od 1. listopadu správu Registru obyvatel a Registru osob. Převodem pokračuje postupné soustřeďování sdílených informačních systémů státu pod DIA (𝕏).

    Ladislav Hagara | Komentářů: 4
    Rozcestník

    Dotaz: port scan

    19.8.2009 22:14 qwtrfgdgfd
    port scan
    Přečteno: 762×

    ahojte, potrebujem cez iptables bloknut scanovanie portov. ako by som mal zakazat priamo scanovanie napr. 80, aby ten clovek nevidel ze na 80 nieco bezi?

    80 je len priklad.

    dakujem.

    Odpovědi

    Jendа avatar 20.8.2009 00:00 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: port scan
    Takže chcete odmítat/zahazovat všechny pakety, které přijdou na port 80?

    "iptables drop port", třetí výsledek:
    If you wanted to block all incoming telnet connections to your computer: ComputerName:~# iptables -A INPUT -j DROP -p tcp --destination-port telnet Since there is no defined source, any telnet request to your computer will be blocked.
    DROP paket tiše zahodí, REJECT pošle zpátky ICMP zprávu port-unreachable.
    20.8.2009 00:39 qwtrfgdgfd
    Rozbalit Rozbalit vše Re: port scan

    Chcem zabranit scanovaniu vybranych portov. Ospravedlnujem sa za zle polozenu otazku.

    20.8.2009 02:25 Jiří J. | skóre: 34 | blog: Poutník | Brno
    Rozbalit Rozbalit vše Re: port scan

    Jo, tak to buď DROP / REJECT na vybrané porty, nebo přes ctstate (conntrack state) match - více man iptables.

    20.8.2009 10:58 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: port scan
    Pokud ten člověk má mít na port 80 regulární přístup, nemůžete mu bránit zjistit, že tam to-něco běží. Takže buď na tom portu musíte zmíněnou službu zastavit, nebo se smířit s tím, že když jí někdo může využívat, že může i zjistit, že tam běží.

    Samozřejmě lze udělat různá omezení, povolit ji jen někomu, pakety od jiných zahazovat, ale oskenování jako takovému nějak plošně zabránit nelze, protože oskenování portu znamená, že se pokusíte kontaktovat službu, která tam nejspíš běží, a pokud tam běží, tak to zjistíte.
    20.8.2009 12:50 cronin | skóre: 49
    Rozbalit Rozbalit vše Re: port scan
    port knocking
    20.8.2009 20:43 Jiří J. | skóre: 34 | blog: Poutník | Brno
    Rozbalit Rozbalit vše Re: port scan

    Což je v podstatě variace na

    Samozřejmě lze udělat různá omezení, povolit ji jen někomu, pakety od jiných zahazovat
    21.8.2009 11:50 cronin | skóre: 49
    Rozbalit Rozbalit vše Re: port scan
    Striktne vzate ano, ale zatial co "povolit jen nekomu, pakety od inych zahadzovat" je vseonecne marketingove vyjadrenie, "port knocking" je konkretne technicke riesenie. Takze ano, je to to iste, ale miera abstrakcie je velmi rozdielna.
    20.8.2009 22:11 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: port scan
    Chudáci uživatelé :) zpravidla to pak vyžaduje vytvářet raw pakety, čili admin práva, čili žádná internet. kavárna a podobně, celkově velmi nepřiměřené jako obrana proti "skenování portů".
    20.8.2009 22:14 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: port scan
    Ale jinak dobrá připomínka, že službu lze nejen zpřístupňovat jen vybraným uživatelům, ale zpřístupňovat ji jen "on demand". Akorát je tu to negativum, že pak ta služba vlastně už téměř přestává být přístupná.
    20.8.2009 22:15 Jiří J. | skóre: 34 | blog: Poutník | Brno
    Rozbalit Rozbalit vše Re: port scan

    Kdeže, ti šikovní si otevřou tři telnety, připraví putty, pak rychle odentrují okna s telnety (rychleji, než jedno okno stihne poslat více, než 1 TCP SYN).. a pak už vesele sshují, případně browsují :-D

    21.8.2009 08:55 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: port scan
    Ti šikovní se v tom případě jmenují Hurvínek a server na který se takto hlásí se jmenuje Válka. Pro nejprimitivnější varianty port knocking samozřejmě stačí posílat normální pakety, ale tam je to na pováženou s bezpečností, heslo (ťukací sekvence) se buď nemění (nejhorší možnost), nebo mění cyklicky či nějakým (deterministickým) algoritmem (musíte je mít tedy někde na papírku či generovat), ale to jsme zase u bezpečnosti, tohle se dá odposlechnout, rozlousknout, následně použít k přihlášení. No a nebo se konečně dostaneme k těm raw packetům, kdy pošelete heslo rovnou v nich, což je asi nejbezpečnější varianta (resp. jediná trochu bezpečná z výše uvedených), ale tam potřebujete ty admin práva, tři telnety nestačí.
    21.8.2009 11:47 cronin | skóre: 49
    Rozbalit Rozbalit vše Re: port scan
    Daju sa telnetom poslat data na neotvoreny port? Lebo to je to, co port knocking robi. Ak sa mam telnetom niekam pripojit a poslat tam nejaku opening sequence, tak to som len presunul problem otvoreneho portu let's say 80 na iny port.
    21.8.2009 12:31 Messa | skóre: 39 | blog: Messa
    Rozbalit Rozbalit vše Re: port scan
    I pokus o spojení na neotevřený port jsou svým způsobem data :-)
    21.8.2009 12:41 cronin | skóre: 49
    Rozbalit Rozbalit vše Re: port scan
    Spravne; takto som o tom nerozmyslal. Takze styrmi telnetmi vytukat PIN kod zlozeny zo styroch cisel portov, to by slo. :-D
    20.8.2009 22:25 Messa | skóre: 39 | blog: Messa
    Rozbalit Rozbalit vše Re: port scan
    Skenování portů by měly umět odhalit a následně potlačit systémy, kterým se říká IDS - Intrusion Detection System (už jen podle názvu by toho měly umět i mnohem víc). Třeba snort. Google vám snad poradí jak dál.

    Možná by to šlo i jen přes iptables, sledovat pokusy o spojení z jedné IP adresy za poslední dobu na více různých portů a když jich je moc, tak to zatrhnout. Lze to samozřejmě ale obejít.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.