找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 10234|回复: 14

[其它] ROS 天天被人扫描, 有没有办法 让尝试登录错误3次的IP到地址列表?

  [复制链接]
发表于 2011-10-30 12:55:45 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
剪贴板-1.jpg 剪贴板-2.jpg



然后根据  地址列表,DROP掉?



  谢谢啦
routeros
发表于 2011-10-30 13:20:10 | 显示全部楼层
应该DROP不掉吧,这地址应该是动态的。
你可以尝试在IP-services 里面 只留下winbox项,其它都禁掉,试试看,或者是把登陆的端口,改一下。
我也是新手,只是建议。
要是有效果告诉我一下。
routeros
回复

使用道具 举报

发表于 2011-10-30 13:24:09 | 显示全部楼层
真的不能關閉SSH的話,那就自己加上防火牆.
routeros
回复

使用道具 举报

 楼主| 发表于 2011-10-30 13:37:16 | 显示全部楼层
谢谢, 看来还是自己加防火墙了。
routeros
回复

使用道具 举报

发表于 2011-10-30 14:06:07 | 显示全部楼层
关闭不必要的端口
routeros
回复

使用道具 举报

发表于 2011-10-30 14:45:25 | 显示全部楼层
SSH 是你自己要用的而已?
routeros
回复

使用道具 举报

发表于 2011-10-30 16:40:48 | 显示全部楼层
ssh扫描和正常的ssh登录有个区别,扫描情况下会新建多个ssh连接,正常情况下,一般只有一个ssh连接。
要判断是否是登录错误,这个比较困难,但是可以对一分钟内,新建ssh连接大于3的,将其源地址加入地址列表。然后再进行处理。
routeros
回复

使用道具 举报

 楼主| 发表于 2011-10-31 00:29:30 | 显示全部楼层



谢谢指点。


         能否再详细一点。


routeros
回复

使用道具 举报

发表于 2011-10-31 08:51:20 | 显示全部楼层
给你参考我的方式.........将所有连线服务   IP-->Service  这边都改为  192.168.0.0/16  然后开启pptp  vpn
用vpn 连线进来进入ros ,对外进入ros的wan网路封包在防火墙都设定  Drop
routeros
回复

使用道具 举报

发表于 2011-10-31 17:30:22 | 显示全部楼层
用PSD,可以识别出端口扫描。
Weight Threshold:权重
Delay Threshold:统计间隔
Low Port Weight:小端口号(1-1024)连接权重
Hight Port Weight:大端口号权重
比如我的规则,3秒内发生5次端口访问则认为是端口扫描行为。
psd.JPG
routeros
回复

使用道具 举报

发表于 2011-10-31 22:27:55 | 显示全部楼层
楼上正解:):)
routeros
回复

使用道具 举报

 楼主| 发表于 2011-10-31 23:00:02 | 显示全部楼层
小狼 发表于 2011-10-31 17:30
用PSD,可以识别出端口扫描。
Weight Threshold:权重
Delay Threshold:统计间隔



谢谢,  这个要借鉴一下
routeros
回复

使用道具 举报

发表于 2011-11-1 10:14:50 | 显示全部楼层
小狼 发表于 2011-10-31 17:30
用PSD,可以识别出端口扫描。
Weight Threshold:权重
Delay Threshold:统计间隔

感觉这位大哥没看清楚问题就开始乱回答了 。

图片中不是什么端口扫描,是对 tcp 22端口的密码穷举。
其实换个端口好了,或者像有些人说的,先建立VPN,然后必须从vpn上登录ssh也是可行的办法。
routeros
回复

使用道具 举报

发表于 2011-11-1 10:25:41 | 显示全部楼层
zhjchina 发表于 2011-11-1 10:14
感觉这位大哥没看清楚问题就开始乱回答了 。

图片中不是什么端口扫描,是对 tcp 22端口的密码穷举。

咋死脑筋呢。
ssh.JPG
这样不就可以像你说的那样判断SSH端口扫描了么。
ssh扫描和正常的ssh登录有个区别,扫描情况下会新建多个ssh连接,正常情况下,一般只有一个ssh连接。
要判断是否是登录错误,这个比较困难,但是可以对一分钟内,新建ssh连接大于3的,将其源地址加入地址列表。然后再进行处理。
routeros
回复

使用道具 举报

发表于 2011-11-1 17:45:55 | 显示全部楼层
其实可以先把外网端口封了,然后用一个别的端口NAT到LAN口。不就行了!
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-11-24 12:41 , Processed in 0.071233 second(s), 5 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表