在收到服务器提供商的滥用通知后,我想知道他们如何检查我的所有流量并向我发送这些滥用信息。我可能想知道是否有某种软件可以下载,以便我可以阻止我的客户进行恶意活动……或者至少在我的提供商惩罚我之前通知我。
我已经看到了一些东西呼噜,节点监视和虚拟专用网络,但没有一个能“控制” VPS 机器进行端口扫描。
任何帮助都将不胜感激
编辑:我并不是想阻止外部人员进行端口扫描,而是阻止内部人员对互联网进行端口扫描,也就是阻止我的客户进行恶意活动:)
答案1
出站 ACL
在我们的防火墙上配置出站 ACL,以便您的用户只能使用您允许的 Internet 服务。
我认为,使用 any>any 的出站端口 http 和 https 规则就可以了。DNS 将在内部使用(我个人的假设),这可能会解决您的问题。
答案2
由于您是 VPS 提供商,并且我假设您的客户在他们的 VPS 上获得 root 权限,因此您在网络堆栈上能做的事情很少,因为过滤不会阻止或检测所有内容,而且您很可能会得到很多误报。您可以配置 iptables 以在短时间间隔内过滤某些重复的 tcp 标志,记录它们并使用某些东西向您发送通知
我能想到的唯一其他解决方案是使用 rootkit 扫描程序扫描客户文件系统,例如https://rootkit.nl/projects/rootkit_hunter.html或类似的寻找了解工具。但您可能会面临客户的隐私问题。
答案3
使用一种叫做 PSAD 的东西,它现在可以阻止端口扫描。pSAD 检查日志,您可以设置危险级别,例如:15 次扫描 = 级别 1、50 次扫描 = 级别 2 等等,并在达到一定危险级别时收到通知。
如果你有任何端口扫描问题,我强烈建议你查看 pSAD http://cipherdyne.org/psad/
它会自动进行入侵检测,您不需要去更改 IP 表中的内容,因为它会自行处理。
感谢@ecelis 的评论,它让我发现了这一点。