Назад | Перейти на главную страницу

Остановить исходящее сканирование SYN

Здравствуйте, я управляю компанией VPN, и недавно мой хост присылал мне эти жалобы, которые, вероятно, исходят от пользователя.

Я не уверен, как идентифицировать пользователя, если бы я мог просто сделать это, мне бы не понадобился брандмауэр, я бы просто забанил его.

или

Как мне просто предотвратить это, я пробовал гугл и все, что есть, абсолютно нулевые ресурсы для этого.

Вот письмо, которое я получил от хозяина 

    Dear Customer,

Abnormal activity has been detected on your VPS.


Please do not hesitate to contact our technical support team so that this situation does not become critical.

You will find the logs brought up by our system below, which led to this alert.

- START OF ADDITIONAL INFORMATION -

Attack detail : 4K scans
dateTime                   srcIp:srcPort           dstIp:dstPort           protocol flags       bytes reason
2015.03.10 04:47:14 CET    1.1.1.1:51872    117.177.202.102:8123    TCP      SYN            48 SCAN:SYN
2015.03.10 04:47:14 CET    1.1.1.1:52619    223.82.243.252:8123     TCP      SYN            52 SCAN:SYN
2015.03.10 04:47:14 CET    1.1.1.1:51894    117.171.183.23:8123     TCP      SYN            48 SCAN:SYN
2015.03.10 04:47:14 CET    1.1.1.1:51969    223.87.139.126:8123     TCP      SYN            48 SCAN:SYN
2015.03.10 04:47:14 CET    1.1.1.1:52661    183.220.40.138:8123     TCP      SYN            52 SCAN:SYN
2015.03.10 04:47:14 CET    1.1.1.1:59406    168.63.20.19:8123       TCP      SYN            52 SCAN:SYN
2015.03.10 04:47:14 CET    1.1.1.1:52010    183.218.127.28:8123     TCP      SYN            48 SCAN:SYN
2015.03.10 04:47:14 CET    1.1.1.1:52026    183.218.88.130:8123     TCP      SYN            48 SCAN:SYN
2015.03.10 04:47:14 CET    1.1.1.1:52024    183.221.53.176:8123     TCP      SYN            48 SCAN:SYN
2015.03.10 04:47:14 CET    1.1.1.1:52030    117.164.27.242:8123     TCP      SYN            48 SCAN:SYN
2015.03.10 04:47:14 CET    1.1.1.1:53293    60.190.189.214:8123     TCP      SYN            52 SCAN:SYN
2015.03.10 04:47:14 CET    1.1.1.1:52052    117.173.50.98:8123      TCP      SYN            48 SCAN:SYN
2015.03.10 04:47:14 CET    1.1.1.1:52058    117.173.55.244:8123     TCP      SYN            48 SCAN:SYN
2015.03.10 04:47:14 CET    1.1.1.1:52060    183.219.218.176:8123    TCP      SYN            48 SCAN:SYN
2015.03.10 04:47:14 CET    1.1.1.1:52063    117.164.168.148:8123    TCP      SYN            48 SCAN:SYN
2015.03.10 04:47:14 CET    1.1.1.1:52103    218.204.156.111:8123    TCP      SYN            48 SCAN:SYN
2015.03.10 04:47:14 CET    1.1.1.1:52106    183.220.40.146:8123     TCP      SYN            48 SCAN:SYN
2015.03.10 04:47:14 CET    1.1.1.1:54619    117.172.168.229:8123    TCP      SYN            52 SCAN:SYN
2015.03.10 04:47:14 CET    1.1.1.1:54641    117.173.36.73:8123      TCP      SYN            52 SCAN:SYN
2015.03.10 04:47:14 CET    1.1.1.1:54488    112.45.101.145:8123     TCP      SYN            52 SCAN:SYN

Могу ли я просто запретить исходящий трафик на порт 8123, это решит проблему? Если да, то как это возможно?