state模块

state模块

state模块

我们作为客户端使用80端口发起请求，服务端使用80端口来相应我们的请求，在这个过程中，是我们主动请求80端口，80端口回应我们。

如果有人利用80端口主动连接我们，对我们发起攻击，该怎么办？

1.改端口        别人还是有办法获得端口的，不可行

2.指定放行的主机         当主机特别多时，或者服务多时，会很繁琐，不可行

3.针对对应的端口，用--tcp-flags去匹配tcp报文的标志位，把外来的"第一次握手"的请求拒绝      如果对方用的是UDP或ICMP呢？这两个协议不建立连接  不可行

问题的根源在于，如何判断哪些报文是为了回应我的，哪些报文是主动向我们发送的，所以就要用到state模块

模块中指定报文的状态有5种

NEW                       连接中的第一个包，我们可以理解为新建立的第一个包的状态是NEW

ESTABLISHED         建立连接的包，NEW之后的包都符合这个条件，包括请求的和响应的

RELATED                比如FTP中的命令传输连接和数据传输连接，数据连接中的报文可能就是RELATED状态，因为这些报文与命令连接中的报文有关系（如果要对FTP进行连接追踪，需要单独加载nf_conntrack_ftp模块）

INVAILD                 如果一个包没有办法被识别，或者这个包没有状态，那这个包的状态就是INVALID，这个包我们可以主动屏蔽

UNTRACKED          表示报文未被追踪，无法找到响应的连接

例如：放行RELATED和ESTABLISHED状态的包

iptables -t filter -I INPUT -m state --state RELATED,ESTABLESHED -j ACCEPT