我的一份服务器日志显示,有人试图对监听非标准端口的守护进程进行未经授权的访问。这让我想知道人们运行端口扫描程序来查找漏洞的频率。是否有一个程序可以作为蜜罐运行,以自动禁止扫描特定端口的 IP?
答案1
您可以为 fail2ban 编写一些内容来解析 iptables 规则,并禁止命中特定端口的 IP。
答案2
呵呵... 再次对 OSSEC 进行改进,但请检查一下。当注意到特定的系统日志模式时,它可以自动运行脚本(并且几乎开箱即用地更新 Linux/BSD 上的防火墙规则集):http://ossec.net
答案3
您应该预料到,互联网上的机器基本上会持续受到扫描。
自动禁止扫描某些端口的 IP 并不是蜜罐的本质。
攻击者可以访问多个网络。你无法阻止他们。你可以阻止端口扫描程序,但如果目标是阻止扫描网络的人而不是增加安全性,那么最好的解决方案就是蜜罐。
但你不知道蜜罐是什么,我真的很怀疑你是否想设置蜜罐。你的问题表明你应该学习一些安全和网络基础知识。设置蜜罐是更好地理解信息安全的一条途径。
要获得系统问题或任何领域中任何技术问题的实际帮助,您应该描述情况以及最终结果。在对正在发生的事情知之甚少的情况下设计解决方案,并要求实施人员提供细节方面的帮助,这肯定预示着项目将以失败告终。
答案4
我不知道您正在运行什么操作系统,但某些防火墙能够创建规则,允许您在用户在一定秒数内访问某个端口时自动禁止该用户。
另一种选择是运行某种读取日志文件的脚本,当它看到对相关端口的尝试时,它会自动向防火墙添加新条目以将其阻止。
端口扫描是生活中的常态,如果这项服务只对某些人开放,那么请调整防火墙,阻止除允许访问之外的所有访问,基本上就是创建白名单而不是黑名单。白名单更有效,但同时维护起来也更麻烦。