Blocka portscanning med PF?
Joakim Aronius
joakim at aronius.com
Thu Feb 4 19:05:56 CET 2010
Hej Anders,
Jag antar att det är 'max-src-conn-rate' du använder. Har inte testat själv men det borde funka om du skriver en bredare regel på oanvända portar och en 'max-src-conn-rate 3/30' för att fånga portskanningar. Det kan ju missa om de kör slumpade portar men det kanske till och med går att ha max-src-conn-rate på en inledande 'block all' regel... intressant.
/jkm
* Anders Troback (freebsd at troback.com) wrote:
> Hej!
>
> Någon som känner till om man kan få PF att känna igen portscanning och
> eller program som tex. Nessus och Core Impact?
>
> Det finns ju en jättefin bruteforce för ssh till PF så jag tänkte att
> det kanske finns något bra sätt att blocka allt från ett IP som
> portscannar!
>
>
> \\anders
> _________________________________________________
> BSD Users Sweden -- BUS at stacken.kth.se
> https://lists.stacken.kth.se/mailman/listinfo/bus
More information about the BUS
mailing list