在服务器上使用nmap进行端口扫描的时候,扫描3389端口,一看扫描结果,4个C的IP地址全部开放的3389端口,这显然不可能,查看防火墙会话,全部nmap扫描3389端口的会话,进出方向的包数量都是1,感觉很可能是防火墙给服务器扫描报文回的报文。
tcp VPN: public -> public
Zone: trust -> untrust TTL: 00:00:10 Left: timeout
Interface: G0/0/0 Nexthop: 192.168.71.126 MAC: 00-25-9e-97-a4-b6
<-- packets:1 bytes:40 --> packets:1 bytes:44
192.168.50.135:61031-->192.168.3.130:3389
tcp VPN: public -> public
Zone: trust -> untrust TTL: 00:00:10 Left: timeout
Interface: G0/0/0 Nexthop: 192.168.71.126 MAC: 00-25-9e-97-a4-b6
<-- packets:1 bytes:40 --> packets:1 bytes:44
192.168.50.135:49262-->192.168.5.126:3389
tcp VPN: public -> public
Zone: trust -> untrust TTL: 00:00:10 Left: timeout
Interface: G0/0/0 Nexthop: 192.168.71.126 MAC: 00-25-9e-97-a4-b6
<-- packets:1 bytes:40 --> packets:1 bytes:44
192.168.50.135:61031-->192.168.3.148:3389
tcp VPN: public -> public
Zone: trust -> untrust TTL: 00:00:10 Left: timeout
Interface: G0/0/0 Nexthop: 192.168.71.126 MAC: 00-25-9e-97-a4-b6
<-- packets:1 bytes:40 --> packets:1 bytes:44
192.168.50.135:61030-->192.168.3.121:3389
防火墙上firewall defend相关的配置,默认如下,其中就有基于syn-flood的防御,感觉就是这条配置的原因;
HRP_M[E1000E]disp cur | inc defend
15:20:00 2020/04/29
firewall defend ip-spoofing enable
firewall defend large-icmp enable
firewall defend ip-sweep enable
firewall defend syn-flood enable
firewall defend udp-flood enable
firewall defend icmp-flood enable
firewall defend ip-sweep max-rate 1000
firewall defend ip-sweep blacklist-timeout 5
经过测试还发现,如果扫描的目标IP和端口乘积数量如果超过1000-1200之间的某个数之后,防火墙的syn-flood defend功能就会生效,扫描结果就显示很多IP都开放了3389端口,而实际上没有。
为了避免影响扫描效果,将syn-flood defend取消了,看配置貌似可以针对特定安全域、接口配置defend功能,于是尝试了一下,firewall defend syn-flood zone untrust配置,端口扫描测试,发现不影响扫描准确性了。
HRP_M[E1000]undo firewall defend syn-flood enable
HRP_M[E1000]firewall defend syn-flood ?
enable Enable the switch
interface Interface of needing defend
ip IP
zone Zone
HRP_M[E1000]firewall defend syn-flood zone untrust
后来再尝试了firewall defend syn-flood interface GigabitEthernet 0/0/0,发现命令执行后,在配置命令中,并未能找到这条指令。
网友评论