T0MM
07.10.03, 00:18
Hallo,
kennt Ihr vieleicht eine Möglichkeit mit iptables Portscans zu erkennen, um dann die scannende IP zu sperren? Ich habe schon mal Portsentry im Einsatz, allerdings stören mich hier die vielen geöffneten Sensorports. Geil wäre ein "Filter" nur für die tatsächlich benötigten und geöffneten Ports überwacht, der erkennt dann: "acha, die IP versuchte eben Zugrif auf meinen geöffneten Port 25, vorhin gab's nen zugrif auf 22 und vorhin noch auf 80, also muss es ein scan sein, also mache ich 'IP -j DROP' :)".
Gibt es sowas? Was ist mir der DOS-Protection (-m limit)? Oder es gab da auch ein "-m dsp" für PortScanDetections, könnte man damit auch die IP sperren? Gibt es da was fertiges, oder muss man sich selber was basteln?
Vielen Dank
T.
kennt Ihr vieleicht eine Möglichkeit mit iptables Portscans zu erkennen, um dann die scannende IP zu sperren? Ich habe schon mal Portsentry im Einsatz, allerdings stören mich hier die vielen geöffneten Sensorports. Geil wäre ein "Filter" nur für die tatsächlich benötigten und geöffneten Ports überwacht, der erkennt dann: "acha, die IP versuchte eben Zugrif auf meinen geöffneten Port 25, vorhin gab's nen zugrif auf 22 und vorhin noch auf 80, also muss es ein scan sein, also mache ich 'IP -j DROP' :)".
Gibt es sowas? Was ist mir der DOS-Protection (-m limit)? Oder es gab da auch ein "-m dsp" für PortScanDetections, könnte man damit auch die IP sperren? Gibt es da was fertiges, oder muss man sich selber was basteln?
Vielen Dank
T.