sealin 发表于 2013-3-21 13:05:23

求教,此类高并发外网端口扫描如何防范,已建立的链接怎样才能自动断开,很纠结

今天发现上行流量很大
查看ip fir conn发现大量端口扫描
对方是多个美国ip
如图所示
求教高手
此类高并发外网端口扫描如何防范
这些已建立的链接怎样才能断开
手工断开无效,更新速度很快
很纠结......

kzyfl 发表于 2013-3-21 13:12:22

重启服务器,一下全自动断开了.

sealin 发表于 2013-3-21 13:48:30

kzyfl 发表于 2013-3-21 13:12 static/image/common/back.gif
重启服务器,一下全自动断开了.

还有更好的办法么?
防火墙里配置forward链的drop规则就可以了吧?

rosabc 发表于 2013-3-22 09:24:34

本帖最后由 rosabc 于 2013-3-22 12:46 编辑

看错了,确实是攻击。还好伪造的源地址有规律是同一个段的。

sealin 发表于 2013-3-22 10:51:27

rosabc 发表于 2013-3-22 09:24 static/image/common/back.gif
好像不是攻击,你的VPS被人当跳板了。

啊,那这个怎么解决呢,急切等回复,谢谢了:o

兰彻 发表于 2013-3-22 11:03:48

sealin 发表于 2013-3-22 10:51 static/image/common/back.gif
啊,那这个怎么解决呢,急切等回复,谢谢了

这个可以的,首先允许你认可的ip,然后拒绝所以的ip就行了,例如你的你的内网的192.168.1.1/24这个段。你只允许这个段就行了,其他的都拒绝

/ ip firewall filter add chain=input src-address=192.168.1.1 action=accept

/ ip firewall filter add chain=input action=drop
类似这样应该就行了。当然还可以精细化一点

sealin 发表于 2013-3-22 12:43:30

兰彻 发表于 2013-3-22 11:03 static/image/common/back.gif
这个可以的,首先允许你认可的ip,然后拒绝所以的ip就行了,例如你的你的内网的192.168.1.1/24这个段。你 ...

用input链限制只通过内网ip么?
那input链进来的源地址是外网ip的数据会不会进不来了?
页: [1]
查看完整版本: 求教,此类高并发外网端口扫描如何防范,已建立的链接怎样才能自动断开,很纠结