我的一个服务器日志显示,在监听非标准端口的守护程序上存在未经授权的访问尝试。 这使我想知道人们运行端口扫描程序来查找漏洞的频率。 有一个程序,我可以作为一个蜜jar运行,自动禁止扫描某些端口的IP?
你可以写一些fail2ban的东西来parsingiptables规则,并禁止命中特定的端口。
嘿…再次拉开OSSEC,但看看。 它可以自动运行脚本(并在几乎开箱的情况下更新Linux / BSD上的防火墙规则集),当指定特定的系统日志模式时: http : //ossec.net
你应该期望在互联网上的一台机器基本上不断地被扫描。
自动禁止扫描某些端口的IP并不是蜜jar。
攻击者可以访问多个networking。 你不能阻止他们。 你可以阻止一个portscanner,但是如果目标是阻止人们扫描你的networking,而不是增加安全性,那么你的最佳解决scheme就是蜜jar。
但你不知道是什么,我真的怀疑你想要设置一个。 你的问题表明你应该学习一些安全和networking基础知识。 build立蜜jar是更好地理解信息安全的途径之一。
为了得到系统问题的实际帮助,或者真的在任何领域的技术问题,你应该描述的情况下,你想最终结束。 devise一个解决scheme,当你不知道发生了什么事情,并要求提供小的细节的实施援助,是一个项目的一个肯定的迹象,将失败。
我不知道你在运行什么操作系统,但某些防火墙有能力创build规则,允许你在一定的时间内碰到某个端口时自动禁止用户。
另一个select是运行某种types的脚本来读取日志文件,当它看到有问题的端口上的尝试时,它会自动向防火墙添加一个新的条目以防止它们出现。
端口扫描只是一个事实,如果这项服务只适用于某些人,那么调整你的防火墙,使除了被允许访问的东西被阻塞,基本上就是创build一个白名单而不是黑名单。 白名单是更有效的,但在同一时间更多的痛苦来维持。