Drop port scanners

Базовая функциональность RouterOS
chas99
Сообщения: 91
Зарегистрирован: 10 фев 2017, 08:52

Drop port scanners

Сообщение chas99 » 10 мар 2018, 10:59

Коллеги, доброго дня.

везде, где нашел, предлагают такое правило для "борьбы" со сканерами портов -

/ip firewall filter

add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="Port scanners to list " disabled=no

хотелось бы понять - а бывают ли другие значения, отличные от psd=21,3s,3,1 ?

Аватара пользователя
Chupaka
Сообщения: 1452
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Drop port scanners

Сообщение Chupaka » 12 мар 2018, 08:36

Доброго.

https://wiki.mikrotik.com/wiki/Manual:I ... Properties

Т.е. в данном конкретном примере если какой-то src-address оказывается замечен чаще, чем раз в 3 секунды, то на каждый пакет значение счётчика для данного src-address увеличивается (на 3 для портов от 0 до 1024, на 1 для остальных портов). Когда суммарно накопится 21 - срабатывает правило. Если 3 секунды не было пакетов - счётчик обнуляется.

chas99
Сообщения: 91
Зарегистрирован: 10 фев 2017, 08:52

Re: Drop port scanners

Сообщение chas99 » 14 мар 2018, 15:19

Спасибо!

А есть ещё какие нибудь варианты применения этой функции?

Аватара пользователя
Chupaka
Сообщения: 1452
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Drop port scanners

Сообщение Chupaka » 14 мар 2018, 15:34

Есть ли другой вариант применения функции "Обнаружение сканирования портов"? Есть наверное. Ведь микроскопом тоже можно гвозди забивать... Но в целом всё же лучше их обоих использовать осознанно и по назначению :)

chas99
Сообщения: 91
Зарегистрирован: 10 фев 2017, 08:52

Re: Drop port scanners

Сообщение chas99 » 14 мар 2018, 16:32

а порт можно использовать в этом правиле, например 3389, чтобы сканирование "отлавливалось" на конкретном порту?
или лучше и не придумаешь чем это -
add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="Port scanners to list " disabled=no

Аватара пользователя
Chupaka
Сообщения: 1452
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Drop port scanners

Сообщение Chupaka » 14 мар 2018, 16:40

Вы мешаете в кучу сканирование портов и подбор пароля. Сканирование портов - это когда кто-то пытается подключиться сначала на порт 80, потом на 81, потом на 443, 444, 8080 и далее по списку. И в итоге знает, что на целевой машине открыты такие-то порты, можно использовать на них более узкоспециализированные инструменты.

А как можно отсканировать один порт - не представляю. Один раз попробовал подключиться - и уже знаешь, открыт он или нет. Как роутер должен легитимное подключение отличить от "сканирования" - мне пока непонятно.

chas99
Сообщения: 91
Зарегистрирован: 10 фев 2017, 08:52

Re: Drop port scanners

Сообщение chas99 » 15 мар 2018, 13:58

Понятно, спасибо!

можно понять легитимное подключение или нет через «Port knocking», так ?

Аватара пользователя
Chupaka
Сообщения: 1452
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Drop port scanners

Сообщение Chupaka » 15 мар 2018, 14:05

Можно и Port Knocking реализовать, только это уже немного другая история :)

chas99
Сообщения: 91
Зарегистрирован: 10 фев 2017, 08:52

Re: Drop port scanners

Сообщение chas99 » 23 дек 2018, 07:19

Chupaka

я правильно понимаю, что если используется проброс портов, то правило фильтра "port scanners" не поможет ?
/ip firewall filter
add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="Port scanners to list " disabled=no
Ведь цепочка NAT обрабатывается раньше, чем правила фильтра и поэтому даже если атакующий в листе "port scanners", то правило
chain=dstnat action=netmap to-addresses=192.168.1.50 to-ports=3389 protocol=tcp src-address-list=!bruteforcer in-interface-list=WAN
dst-port=20700 log=no log-prefix=""
будет "выдавать" открытые порты...

как тогда бороться со сканерами портов, при наличии проброса ?

я сделал костыль в виде внесения адреса атакующего сразу в два списка "port scanners" и "bruteforcer", но может есть вариант как-то красивее это сделать ?

Аватара пользователя
Chupaka
Сообщения: 1452
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Drop port scanners

Сообщение Chupaka » 23 дек 2018, 12:59

Ваше правило port scanners работает в input, а dst-nat пробрасывает пакеты внутрь сети, поэтому они пойдут не в input, а в forward.

А зачем вам бороться со сканерами портов? И со сканированием чего именно вы хотите бороться?

Ответить