送信元ポート443からの着信トラフィックを許可する必要がありますか?
標準とSSLの両方のWebサーバーをホストしています。現在、どちらも正常に動作します。
私のログでは、分散ポートスキャンのように見えることに気づきました。ランダムなホストからの10〜15個のポートクエリが、数時間ごとに互いに数秒以内に発生しています。
Fail2banを起動して実行していますが、ソースIPは常に異なるため、この種の攻撃には対応できません。宛先ポートは常に異なりますが、送信元ポートは常に443です。
この攻撃をブロックして送信元ポート443のパケットをブロックする効果的な方法はありますか、それとも私のhttpsサーバーに干渉しますか?
ありがとう!
私はしません。
攻撃者はすでにスキャンをIP全体に分散させていますが、ポート全体に分散させるのははるかに困難です。ポートをブロックしても、うさぎの穴だけが送信されます(ポート80、21、1024などに変更するとどうなりますか)。
実際の欠点は、これにより将来的に運用上の問題が発生する可能性があることです。送信元ポート443のパケットがいつ必要になるかはわかりません。
攻撃者がポートを見つける前に、ボックスのフルスキャンを実行して、そこに開いているポートを確認することはおそらく価値があります。
ポート0〜1024は予約されていますが、それらの使用は規格によって厳密に禁止されていないため、たとえ非常に珍しいものであっても、正当なトラフィックである可能性があります。
さらに、そのソースポートをブロックしても、攻撃者のタスクが難しくなることはありません。ソースポートの変更は簡単なので、ブロックしません。