保证一对一直播系统源码服务器安全，防止端口被恶意扫描

在生产环境中，服务器正常启动服务所需端口，比如 22、80、3306等，常常被一些人用三方软件恶意扫描(比如nmap工具)，进而控制服务器成为肉鸡，执行一系列活动，从而影响一对一直播系统源码的正常运行。

一、Nmap是什么？

一对一直播系统源码要想有效防止端口被恶意扫描，我们需要先了解一下nmap。Nmap是一款开放源代码的网络探测和安全审核工具。它用于快速扫描一个网络和一台主机开放的端口，还能使用TCP/IP协议栈特征探测远程主机的操作系统类型。

nmap支持很多扫描技术，例如：UDP、TCPconnect()、TCPSYN(半开扫描)、ftp代理(bounce攻击)、反向标志、ICMP、FIN、ACK扫描、圣诞树(XmasTree)、SYN扫描和null扫描。Nmap最初是用于Unix系统的命令行应用程序。

二、一对一直播系统源码的防范措施

一对一直播系统源码可以利用iptables，来防止nmap的扫描，起到过滤、限制的作用。

具体操作流程：

1、测试扫描

首先使用nmap工具扫描测试Linux主机，在测试的Linux主机没有使用iptables做任何防范的情况下，先扫描看看，如下：

从上图可看出，这台机器开启了22、80、443端口

2、开启iptables规则，查看效果

<1>首先安装iptables服务

[root@VM_0_15_centos ~]# yum install iptables-services iptables-devel  -y
[root@VM_0_15_centos ~]# systemctl enable iptables

<2>配置iptables

[root@VM_0_15_centos ~]# vim /etc/sysconfig/iptables
# Generated by iptables-save v1.4.21         
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0] 
-A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j REJECT
-A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j REJECT
-A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j REJECT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
         COMMIT
# Completed on Tue Jul  9 21:09:09 2019

<3>启动iptables

[root@VM_0_15_centos ~]# systemctl start iptables

<4>同样用nmap -A 进行扫描一下，结果如下：

我们可以对比文中的图片结果，发现iptables开启后，可以有效地防止nmap的恶意扫描，一对一直播系统源码的服务器安全得到保证，也不会影响到系统正常运行。

声明：以上内容为云豹科技原创，未经作者本人同意，禁止转载，否则将追究相关法律责任www.yunbaokj.com