Один из моих журналов сервера показал, что была попытка несанкционированного доступа к демону, прослушивающему нестандартный порт. Это заставило меня задуматься, как часто люди запускают сканеры портов для поиска уязвимостей. Есть ли программа, которую я могу запустить в качестве приманки для автоматического запрета IP-адресов, сканирующих определенные порты?
Хех ... снова сутенерство в OSSEC, но проверьте это. Он может автоматически запускать сценарии (и обновлять наборы правил брандмауэра в Linux / BSD почти сразу после установки) при обнаружении определенных шаблонов системного журнала: http://ossec.net
Вы можете написать что-нибудь для fail2ban, чтобы анализировать правила iptables и запрещать IP-адреса, попадающие на определенные порты.
Вы должны ожидать, что машина в Интернете будет сканироваться в основном постоянно.
Автоматическая блокировка IP-адресов, сканирующих определенные порты, - это не приманка.
Злоумышленники имеют доступ к нескольким сетям. Вы не можете их заблокировать. Вы можете сорвать сканирование портов, но если цель состоит в том, чтобы помешать людям сканировать вашу сеть, а не повысить безопасность, лучшим решением будет приманка.
Но вы не знаете, что это такое, и я действительно сомневаюсь, что вы хотите его создать. Ваш вопрос указывает на то, что вам следует изучить основы безопасности и работы в сети. Установка приманок - один из путей к лучшему пониманию информационной безопасности.
Чтобы получить реальную помощь по системным проблемам или действительно любой технической проблеме в любой области, вы должны описать ситуацию и то, в чем вы хотите оказаться. Разработка решения, когда вы мало знаете о том, что происходит, и обращение за помощью в реализации с небольшими деталями - верный признак проекта, который закончится неудачей.
Я не знаю, какую ОС вы используете, но некоторые брандмауэры имеют возможность создавать правила, которые позволяют автоматически блокировать пользователя, если он попадает в определенный порт в течение определенного количества секунд.
Другой вариант - запустить какой-то сценарий, который читает файл журнала, и когда он видит попытки на рассматриваемых портах, он автоматически добавляет новую запись в брандмауэр, чтобы предотвратить их.
Сканирование портов - это просто факт жизни, если эта служба должна быть доступна только определенным людям, тогда настройте свой брандмауэр так, чтобы все, кроме того, что ему разрешено, было заблокировано, в основном создавая белый список, а не черный список. Внесение в белый список более эффективно, но, в то же время, более проблематично поддерживать.