Я пытаюсь настроить машину, похожую на горшок с медом, которая обнаруживала бы сканирование портов из нескольких сетей с несколькими интерфейсами.
В качестве иллюстрации, если бы я мог установить ящик с eth1, eth2 и eth3. eth1 находится в сети 192.168.10.254/24 eth2 находится в сети 192.168.20.254/24 eth2 находится в сети 192.168.30.254/24
Если я получаю TCP-соединение от 192.168.99.7, пытающегося получить доступ (скажем) к порту 443 на 192.168. [10/20/30] .254 за короткий период времени, он сгенерирует предупреждение для администратора, что 192.168.99.7 является скорее всего скомпрометирован и сканирует сеть.
Кто-нибудь знает, как настроить что-то подобное? Все механизмы обнаружения развертки портов (scanlogd, psad), которые я видел в настоящее время, похоже, сосредоточены на одном хосте, который сканируется на наличие нескольких портов.
Если бы это сработало, можно было бы даже использовать iptables.
Спасибо заранее.
Вы можете принять логику подхода «несколько портов» к оценке «несколько портов через несколько IP-адресов».