我试图build立一个类似蜜蜂的机器,可以检测来自多个networking的多个接口的端口扫描。
举个例子,如果我可以用eth1,eth2和eth3设置一个盒子。 eth1位于192.168.10.254/24networkingeth2位于192.168.20.254/24networkingeth2位于192.168.30.254/24networking
如果我从192.168.99.7获得一个TCP连接,试图在短时间内访问192.168。[10/20/30] .254上的端口443(比如说),它会向pipe理员发出一个警告:192.168.99.7是最可能的妥协和扫描networking。
任何人有任何想法如何设置这样的事情? 我目前看到的所有端口扫描检测机制(scanlogd,psad)似乎都集中在单个主机上扫描多个端口。
即使有些东西被iptables打倒也是一个可行的select。
提前谢谢了。
您可以采用“多端口”方式的逻辑来“跨多个IP的多端口”评估。