Blocka portscanning med PF?
Anders Troback
freebsd at troback.com
Thu Feb 4 19:14:53 CET 2010
Den Thu, 4 Feb 2010 19:05:56 +0100
skrev Joakim Aronius <joakim at aronius.com>:
> Hej Anders,
>
> Jag antar att det är 'max-src-conn-rate' du använder. Har inte testat
> själv men det borde funka om du skriver en bredare regel på oanvända
> portar och en 'max-src-conn-rate 3/30' för att fånga portskanningar.
> Det kan ju missa om de kör slumpade portar men det kanske till och
> med går att ha max-src-conn-rate på en inledande 'block all' regel...
> intressant.
>
> /jkm
>
>
> * Anders Troback (freebsd at troback.com) wrote:
> > Hej!
> >
> > Någon som känner till om man kan få PF att känna igen portscanning
> > och eller program som tex. Nessus och Core Impact?
> >
> > Det finns ju en jättefin bruteforce för ssh till PF så jag tänkte
> > att det kanske finns något bra sätt att blocka allt från ett IP som
> > portscannar!
> >
> >
Hmmm, det skulle kanske funka, ska testa lite...!
More information about the BUS
mailing list