晚上找了很多方案,比如 psad. 都是利用 iptables drop 一些端口,然后链接这些端口的就记录...这种方案不适合我的场景. 我的场景是防火墙基本开放所有端口,以上方案就失效了...
能想到的思路是,同一 ip,链接不同端口 5 个以上(不管当前端口是否开放),就判定扫描.
有这种成熟的方案吗,付费否买也可以.
1
xcstream 2020-07-17 17:24:26 +08:00
那就写个程序 监听多个端口来钓鱼
|
2
nomansky 2020-08-07 10:23:47 +08:00
前面部署 IDS
|