OVH Community, your new community space.

portscan


raffo
25.10.2013, 11.46
Basterebbe installare un anti-portscan che controlla costantemente quante porte si connette un singolo ip client e se, ad esempio, un client si connette a 10 porte in 5 secondi, l'ip viene bloccato come tentativo di port-scan-

CSF di configserver fa questo, si configura il range di porte da monitorare, il numero di porte a cui ci si puo connettere, il tempo in secondi.

Un portscan lento pero potrebbe bypassare questa protezione. Ad esempio se tra ogni porta scansionata si ha una attesa di 5 minuti..

un ulteriore metodo di protezione puo essere il port Knocking
http://it.wikipedia.org/wiki/Port_knocking

Che puo gestire sempre CSF
http://configserver.com/cp/csf.html

I report Abuse secondo me non sono affatto utili e anzi fanno solo perdere del tempo in questi casi, li ritengo piu opportuni in caso di synflood devastanti.

EvolutionCrazy
20.10.2013, 15.15
mi riferivo proprio alla gente che usa Ecatel per fare "stress" uscenti...

Preferisco di gran lunga la politica OVH... se vuoi avere una fama buona devi bloccare traffico cattivo (o simil cattivo) uscente...

Se vuoi fare scan a destra e a manca o li fai in locale oppure ti fai un'AS tua...

DYNAMIC+
20.10.2013, 15.11
Citazione Originariamente Scritto da EvolutionCrazy
già... vallo a dire a quelli che hanno gli "stresser" da Ecatel hahahahaha
si ma i port scan "in entrata"
sono diversi...

io intendo far partire il test da ovh

EvolutionCrazy
20.10.2013, 12.51
già... vallo a dire a quelli che hanno gli "stresser" da Ecatel hahahahaha

DYNAMIC+
20.10.2013, 12.32
Citazione Originariamente Scritto da EvolutionCrazy
Direi proprio di no.

Rischi di finire in questa lista con tutte le conseguenze del caso:
http://abuse.ovh.net/index.php?actio...=scan&as=16276

(non è detto in quanto quel tipo di trigger scatta quando fai scansione di più host diversi su stessa porta.... ma 254 credo siano abbastanza per farlo scattare...)
mi sembra assurdo NON poter fare cosa si vuole
con le proprie macchine sulle proprie macchine
e avere il timore di essere scambiato per malware...

EvolutionCrazy
20.10.2013, 11.46
Direi proprio di no.

Rischi di finire in questa lista con tutte le conseguenze del caso:
http://abuse.ovh.net/index.php?actio...=scan&as=16276

(non è detto in quanto quel tipo di trigger scatta quando fai scansione di più host diversi su stessa porta.... ma 254 credo siano abbastanza per farlo scattare...)

DYNAMIC+
20.10.2013, 00.03
ciao,

devo fare un portscan (completo...)
su una rete /24 esterna da ovh di MIA proprieta'.

si puo' fare dalle macchine ovh?