我正在尝试找到一种方法来阻止从网络内部到外部资源的端口扫描或 DoS 类型活动,以便减少滥用投诉的数量。
虽然我知道有许多带有 iptables 或 Snort/Suricata 的工具可以让您按源或目的地跟踪连接数,但我还没有找到一种方法可以同时执行这两个操作。例如,如果特定主机与 Internet 上的各个主机建立 50 个出站端口 80 连接,则可能是正常活动,但如果这 50 个连接在短时间内发送到一台特定主机,则可能不是正常活动。
有没有人以前遇到过这个问题并对如何继续进行有任何建议?
谢谢!