端口扫描攻击防范

端口扫描攻击防范
攻击介绍:
Port Scan攻击通常使用一些软件,向大范围主机的各个TCP/UDP端口发起连接,根据应答报文判断主机是否使用这些端口提供服务。  
处理方法:
检测进入防火墙的TCP报文或UDP报文,根据源IP地址获取统计表项的索引,如果目的端口与前一报文不同,将表项中的报文个数增1。如果报文的个数超过设置的阈值,记录日志,并根据配置决定是否将源IP地址加入黑名单。
攻防配置:
[USG] firewall blacklist enable
[USG] firewall defend port-scan max-rate 1000
[USG] firewall defend port-scan blacklist-timeout 20
[USG] firewall defend port-scan enable  //使能端口扫描防范

命令firewall defend port-scan { max-rate rate-number | blacklist-timeout interval | enable },主要参数意义如下:
max-rate rate-number:设定从同一源地址向外发送报文的目的端口变化速率的阈值。rate-number 默认值为4000次/秒,取值范围为1次/秒~10000次/秒。
blacklist-timeout interval:将攻击源IP加入黑名单并设定其在黑名单内的保持时间,interval 取值范围为1min~1000min,默认值为20min。
enable:使能端口扫描攻击防范功能开关。

配置举例:打开端口扫描攻击防范功能开关,设定扫描速率的阈值为1000。
[USG] firewall defend port-scan enable
[USG] firewall defend port-scan max-rate 1000

1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 端口扫描攻击防范

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!