我正在尝试设置一个像蜜罐一样的机器,它可以检测来自具有多个接口的多个网络的端口扫描。
举例来说,如果我可以设置一个带有 eth1、eth2 和 eth3 的盒子。eth1 在 192.168.10.254/24 网络上;eth2 在 192.168.20.254/24 网络上;eth2 在 192.168.30.254/24 网络上
如果我收到来自 192.168.99.7 的 TCP 连接并尝试在短时间内访问 192.168.[10/20/30].254 上的端口 443,它会向管理员发出警报,提示 192.168.99.7 很可能已被入侵并正在扫描网络。
有人知道如何设置类似的东西吗?我目前见过的所有端口扫描检测机制(scanlogd、psad)似乎都专注于扫描单个主机的多个端口。
如果可行的话,甚至使用 iptables 进行的一些改进也是一种选择。
提前谢谢了。
答案1
您也许能够采用“多个端口”方法的逻辑来进行“跨多个 IP 的多个端口”评估。