如何通过Iptables利用TCP窗口大小特征识别并有效拦截自动化扫描行为?
- 内容介绍
- 相关推荐
本文共计945个文字,预计阅读时间需要4分钟。
iptables不支持直接匹配TCP窗口大小(Window Size)字段。TCP窗口值位于TCP头部,位于字节14到15的位置。iptables的内置匹配模块(如tcp、iprange、string等)均无法安全、可靠地提取和比较这些2字节字段——它们不适用于连接状态,也不在可被string或u32模块稳定解析的负载起始位置。窗口值随连接动态变化,无固定模式。
为什么不能用 iptables 直接匹配窗口大小
iptables 的 tcp 模块仅支持标志位(SYN/ACK/FIN等)、端口、序列号(--tcp-option 仅限选项字段)、MSS 和部分 TCP 选项,**不提供 --tcp-window 或类似原生参数**。有人尝试用 u32 模块按字节偏移读取窗口值,但存在严重问题:
- IP 分片会导致 TCP 头不在首片,
u32无法跨片重组,规则失效或误匹配 - TCP 选项长度可变(如 Timestamp、SACK),使窗口字段实际偏移不固定,硬编码偏移(如
0>>24&0x3F=0x08)极易错位 - 内核版本差异、GRO/GSO 卸载开启时,报文结构可能被修改,进一步破坏偏移可靠性
- 规则难以维护、调试困难,线上环境易引发策略漏放或误杀
更可行的替代方案:聚焦可检测的行为特征
自动化扫描(如 nmap -sS、masscan)虽偶有特定窗口值(例如 masscan 默认用 1024 或 64k),但该值极易伪造、无区分性。真正稳定可捕获的是其**行为指纹**,iptables 可结合以下机制高效拦截:
-
高频跨端口 SYN 尝试:用
recent模块标记 60 秒内发起 ≥5 个新 SYN 的源 IPiptables -A INPUT -p tcp --syn -m recent --name synflood --rcheck --seconds 60 --hitcount 5 -j DROP -
异常 TCP 标志组合:Xmas(FIN,URG,PSH)、Null(无标志)、SYN+FIN 等非法组合几乎只出现在扫描中
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROPiptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP -
半开连接数压制:限制单 IP 并发未完成连接(SYN_RECV)不超过 3 个
iptables -A INPUT -p tcp -m connlimit --connlimit-above 3 --connlimit-mask 32 -j REJECT -
状态一致性校验:丢弃非 ESTABLISHED/RELATED 的 ACK、RST 或含数据的非新建包
iptables -A INPUT -p tcp -m state --state INVALID -j DROPiptables -A INPUT -p tcp --tcp-flags ACK ACK -m state --state NEW -j DROP
需要窗口特征时的合理分工
若业务场景确需基于窗口值做策略(如识别某定制扫描器固定设窗为 0),应交由更底层或专用工具处理:
- eBPF/XDP 程序:在驱动层解析完整 TCP 头,安全读取窗口字段并决策,性能高、绕过协议栈缺陷
-
Suricata / Zeek(Bro):应用层 IDS 可解码 TCP 头并写规则(如
content:"|00 00|"; offset:14; depth:2;),再联动 iptables 封禁 IP -
内核参数微调:关闭
net.ipv4.tcp_window_scaling=0可统一窗口行为,降低扫描器利用窗口差异探测的收益(非拦截,属收敛暴露面)
靠窗口大小识别扫描既不可靠也不必要。把 iptables 用在它擅长的地方:状态跟踪、速率控制、标志校验和连接约束,防御效果更稳、更轻量、更易落地。
本文共计945个文字,预计阅读时间需要4分钟。
iptables不支持直接匹配TCP窗口大小(Window Size)字段。TCP窗口值位于TCP头部,位于字节14到15的位置。iptables的内置匹配模块(如tcp、iprange、string等)均无法安全、可靠地提取和比较这些2字节字段——它们不适用于连接状态,也不在可被string或u32模块稳定解析的负载起始位置。窗口值随连接动态变化,无固定模式。
为什么不能用 iptables 直接匹配窗口大小
iptables 的 tcp 模块仅支持标志位(SYN/ACK/FIN等)、端口、序列号(--tcp-option 仅限选项字段)、MSS 和部分 TCP 选项,**不提供 --tcp-window 或类似原生参数**。有人尝试用 u32 模块按字节偏移读取窗口值,但存在严重问题:
- IP 分片会导致 TCP 头不在首片,
u32无法跨片重组,规则失效或误匹配 - TCP 选项长度可变(如 Timestamp、SACK),使窗口字段实际偏移不固定,硬编码偏移(如
0>>24&0x3F=0x08)极易错位 - 内核版本差异、GRO/GSO 卸载开启时,报文结构可能被修改,进一步破坏偏移可靠性
- 规则难以维护、调试困难,线上环境易引发策略漏放或误杀
更可行的替代方案:聚焦可检测的行为特征
自动化扫描(如 nmap -sS、masscan)虽偶有特定窗口值(例如 masscan 默认用 1024 或 64k),但该值极易伪造、无区分性。真正稳定可捕获的是其**行为指纹**,iptables 可结合以下机制高效拦截:
-
高频跨端口 SYN 尝试:用
recent模块标记 60 秒内发起 ≥5 个新 SYN 的源 IPiptables -A INPUT -p tcp --syn -m recent --name synflood --rcheck --seconds 60 --hitcount 5 -j DROP -
异常 TCP 标志组合:Xmas(FIN,URG,PSH)、Null(无标志)、SYN+FIN 等非法组合几乎只出现在扫描中
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROPiptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP -
半开连接数压制:限制单 IP 并发未完成连接(SYN_RECV)不超过 3 个
iptables -A INPUT -p tcp -m connlimit --connlimit-above 3 --connlimit-mask 32 -j REJECT -
状态一致性校验:丢弃非 ESTABLISHED/RELATED 的 ACK、RST 或含数据的非新建包
iptables -A INPUT -p tcp -m state --state INVALID -j DROPiptables -A INPUT -p tcp --tcp-flags ACK ACK -m state --state NEW -j DROP
需要窗口特征时的合理分工
若业务场景确需基于窗口值做策略(如识别某定制扫描器固定设窗为 0),应交由更底层或专用工具处理:
- eBPF/XDP 程序:在驱动层解析完整 TCP 头,安全读取窗口字段并决策,性能高、绕过协议栈缺陷
-
Suricata / Zeek(Bro):应用层 IDS 可解码 TCP 头并写规则(如
content:"|00 00|"; offset:14; depth:2;),再联动 iptables 封禁 IP -
内核参数微调:关闭
net.ipv4.tcp_window_scaling=0可统一窗口行为,降低扫描器利用窗口差异探测的收益(非拦截,属收敛暴露面)
靠窗口大小识别扫描既不可靠也不必要。把 iptables 用在它擅长的地方:状态跟踪、速率控制、标志校验和连接约束,防御效果更稳、更轻量、更易落地。