iptables là giao diện cấp người dùng (tiện ích) cho khung lọc gói mạng hạt nhân, bộ lọc mạng.
Netfilter chỉ đơn giản là một bộ lọc gói, nó lọc những gì bạn đặt nó để lọc. Nó xem xét các byte của gói, kiểm tra cổng, địa chỉ, các tùy chọn khác được đặt và quyết định phải làm gì với gói. Nó làm điều đó đơn giản gói từng gói, làm cho hầu như không có tham chiếu đến các gói đã thấy trước đó. Với sự trợ giúp của trình theo dõi kết nối, đôi khi nó có thể biết liệu gói này có phải là gói tiếp theo hay không hoặc có liên quan đến một số gói khác hay không, chỉ định tất cả chúng là sự liên quan, đây đã là khá tinh vi. Ngoài ra, nó có thể sửa đổi các gói bằng cách sử dụng các quy tắc được xác định trước (bao gồm cả bản dịch địa chỉ mạng). Nhưng đây gần như là tất cả những gì Netfilter được thiết kế để thực hiện.
Những gì bạn đang nói đến, phát hiện quét cổng, đó là một loại nhiệm vụ rất khác để phát hiện các mẫu lưu lượng truy cập nhất định.Việc xem xét từng gói hoặc chỉ vào các kết nối là không đủ. Bạn phải xem xét ảnh chụp nhanh đáng kể của lưu lượng truy cập để xem mẫu. Và đây là công việc của một loại phần mềm hoàn toàn khác, một Hệ thống phát hiện xâm nhập (IDS) và phân tích lưu lượng nói chung. Có một số mã nguồn mở, như Snort, và có rất nhiều hệ thống thương mại thuộc loại đó.
Và, như bạn có thể đoán, đó là những máy dò rất phức tạp và... không chính xác. Bạn không thể chính xác trong lĩnh vực này. Xác suất mà 5000 máy tính đó đang truy vấn 65000 cổng khác nhau trên máy trong một khoảng thời gian ngắn là rất thấp, nhưng không phải bằng không; luôn có một số điều không chắc chắn nếu đó là lưu lượng truy cập hợp pháp hoặc quét. Và tôi cho rằng phát hiện quét lưu lượng truy cập này là một trong những kiểu mẫu dễ nhận thấy nhất; có nhiều trường hợp khác thậm chí còn khó nói hơn và dễ ẩn nấp hơn và lén lút xung quanh IDS. Đây là lĩnh vực mà tất cả họ cạnh tranh với nhau, ai phát hiện tốt hơn, với nhiều điểm bất thường được phát hiện chính xác hơn và ít thông tin sai lệch hơn, vì vậy các thuật toán phát hiện thường là tài sản trí tuệ có giá trị nhất của họ.
Cuối cùng, IDS có thể trở thành một Hệ thống ngăn chặn xâm nhập (IPS) khi kết hợp với lọc gói tin. Ví dụ: bạn có thể thiết lập nó để nó cài đặt một quy tắc trong Netfilter khi nó cho rằng nó phát hiện quá trình quét, quy tắc này sẽ ngăn các hành động tiếp theo từ các địa chỉ IP này. Nhưng riêng Netfilter không phải là IPS, nó không phát hiện, vì vậy không có gì ngạc nhiên khi bạn không đạt được mục tiêu của mình.
Một số phần mềm diệt virus cho rằng chúng thông minh và đảm nhận vai trò "IPS cho người nghèo". Họ thường làm điều này khá tệ và theo tôi, điều này gây ra nhiều vấn đề hơn là giải quyết.
Câu hỏi chính là: tại sao Bạn cần nó? Điều gì là xấu trong những lần quét cho bạn? Tôi nói theo cách khác: giả sử ai đó quét cổng trên máy của bạn. Rất có khả năng họ sẽ phát hiện ra rằng hầu như không có cổng nào trả lời hoặc hầu hết các câu trả lời là "không thể truy cập cổng".Và có gì sai với điều này?
