每天例行檢查 Log 時,發現Firewall 的Log 出現下列的訊息
[00001] 2009-05-12 18:16:09 [Root]system-alert-00016: Port scan! From 61.147.112.30:6000 to 203.66.222.55:8081, proto TCP (zone U-Untrust, int ethernet0/3). Occurred 65535 times.
去NIC查到61.147.112.30這IP 好像在對岸
inetnum: 61.147.0.0 - 61.147.255.255
netname: CHINANET-JS
descr: CHINANET jiangsu province network
descr: China Telecom
descr: A12,Xin-Jie-Kou-Wai Street
descr: Beijing 100088
country: CN
admin-c: CH93-AP
tech-c: CJ186-AP
mnt-by: MAINT-CHINANET
請問大家會如何反應?
我現在是暫時將這一段 IP deny 掉,除了這樣還有更好的方法嗎?
已邀請的邦友 {{ invite_list.length }}/5
網路很多無聊的人在作這樣的動作,很多駭客要作初步的動作都會作IP SCAN 看有沒有可以亂槍打鳥的好康,加入黑名單注意他
檔調他吧~不然就是掃回去。
基本上,第一次,我不會理他。
但我有習慣把firewall log 存文字檔起來。如果連續幾天他都一直再try,且能看出規則性的話。那我就會把它檔掉。
因為,同上面各位所言,網路上無聊人一堆。四處漫無目的亂掃。要一發現就設定去檔掉。第一會設不完。第二firewall也稱不太住這樣多的無腦ip
所以發現就是故意鎖定自己然後猛掃的ip..那我就會檔了
現在IPS會有行為模式的偵測功能, 並可以自動阻擋IP scan的動作, 你就不必時時去設定阻擋的工作, 也會有記錄. Extreme 有個資安設備就有這種功能.
iThome鐵人賽
看影片追技術