Сканирование портов от пользователей виртуальных машин
После получения уведомления о злоупотреблении от моего провайдера, мне было интересно, как они проверяют весь мой трафик и отправляют мне эти злоупотребления. Я хотел бы знать, есть ли какое-то программное обеспечение, которое я могу загрузить, чтобы я мог остановить своих клиентов от злонамеренных действий... или, по крайней мере, заметить меня, прежде чем мой провайдер будет относиться ко мне.
Я видел некоторые вещи, такие как Snort, NodeWatch и VPSmon, но ни одна из них не "контролировала" VPS-машины с помощью сканирования портов.
Любая помощь здесь будет гораздо более ценной
Изменить: Я не пытаюсь остановить людей извне для сканирования портов, но люди изнутри, чтобы сканировать порты в Интернете, AKA мои клиенты от выполнения вредоносных действий:)
3 ответа
Используя что-то под названием PSAD, теперь он блокирует сканирование портов. pSAD проверьте журналы, и вы можете установить уровни опасности, например: 15 сканирований = уровень1, 50 сканирований = уровень2 и т. д., и получать уведомления об определенном уровне опасности.
Если у вас есть проблемы со сканированием портов, я настоятельно рекомендую посмотреть на pSAD http://cipherdyne.org/psad/
Он выполняет обнаружение вторжений автоматически, и вам не нужно ничего менять в таблицах IP, поскольку он сам позаботится об этом.
Спасибо @ecelis за его комментарий, который привел меня к этому открытию.
Исходящие ACL
На нашем брандмауэре настройте исходящие ACL-списки, чтобы ваши пользователи могли использовать только те службы Интернета, которые вы разрешаете.
Я полагаю, что исходящий порт http и правило https с любым> любым будет в порядке. DNS будет использоваться внутренне (предположение с моей стороны), и это, вероятно, решит вашу проблему.
Поскольку вы являетесь поставщиком VPS, и я предполагаю, что ваши клиенты получают root на своих VPS, вы очень мало можете сделать с сетевым стеком, поскольку фильтрация не будет блокировать или обнаруживать все, и, скорее всего, вы получите много ложных ответов., Вы можете настроить iptables для фильтрации определенных повторяющихся tcp-флагов за короткие промежутки времени, регистрировать их и использовать что-то для отправки вам уведомлений.
Единственное другое решение, о котором я могу подумать, - это сканирование файловой системы ваших клиентов с помощью сканера руткитов, такого как https://rootkit.nl/projects/rootkit_hunter.html или аналогичных, в поисках известных инструментов. Но вы можете столкнуться с проблемами конфиденциальности ваших клиентов.