ROS 天天被人扫描, 有没有办法 让尝试登录错误3次的IP到地址列表?
然后根据地址列表,DROP掉?
谢谢啦 应该DROP不掉吧,这地址应该是动态的。
你可以尝试在IP-services 里面 只留下winbox项,其它都禁掉,试试看,或者是把登陆的端口,改一下。
我也是新手,只是建议。
要是有效果告诉我一下。 真的不能關閉SSH的話,那就自己加上防火牆. 谢谢, 看来还是自己加防火墙了。 关闭不必要的端口 SSH 是你自己要用的而已?
ssh扫描和正常的ssh登录有个区别,扫描情况下会新建多个ssh连接,正常情况下,一般只有一个ssh连接。
要判断是否是登录错误,这个比较困难,但是可以对一分钟内,新建ssh连接大于3的,将其源地址加入地址列表。然后再进行处理。 zhjchina 发表于 2011-10-30 16:40 static/image/common/back.gif
ssh扫描和正常的ssh登录有个区别,扫描情况下会新建多个ssh连接,正常情况下,一般只有一个ssh连接。
要判 ...
谢谢指点。
能否再详细一点。
给你参考我的方式.........将所有连线服务 IP-->Service这边都改为192.168.0.0/16然后开启pptpvpn
用vpn 连线进来进入ros ,对外进入ros的wan网路封包在防火墙都设定Drop 用PSD,可以识别出端口扫描。
Weight Threshold:权重
Delay Threshold:统计间隔
Low Port Weight:小端口号(1-1024)连接权重
Hight Port Weight:大端口号权重
比如我的规则,3秒内发生5次端口访问则认为是端口扫描行为。 楼上正解:):):):):) 小狼 发表于 2011-10-31 17:30 static/image/common/back.gif
用PSD,可以识别出端口扫描。
Weight Threshold:权重
Delay Threshold:统计间隔
谢谢,这个要借鉴一下 小狼 发表于 2011-10-31 17:30 static/image/common/back.gif
用PSD,可以识别出端口扫描。
Weight Threshold:权重
Delay Threshold:统计间隔
感觉这位大哥没看清楚问题就开始乱回答了 。
图片中不是什么端口扫描,是对 tcp 22端口的密码穷举。
其实换个端口好了,或者像有些人说的,先建立VPN,然后必须从vpn上登录ssh也是可行的办法。 zhjchina 发表于 2011-11-1 10:14 static/image/common/back.gif
感觉这位大哥没看清楚问题就开始乱回答了 。
图片中不是什么端口扫描,是对 tcp 22端口的密码穷举。
咋死脑筋呢。
这样不就可以像你说的那样判断SSH端口扫描了么。
ssh扫描和正常的ssh登录有个区别,扫描情况下会新建多个ssh连接,正常情况下,一般只有一个ssh连接。
要判断是否是登录错误,这个比较困难,但是可以对一分钟内,新建ssh连接大于3的,将其源地址加入地址列表。然后再进行处理。
其实可以先把外网端口封了,然后用一个别的端口NAT到LAN口。不就行了!
页:
[1]