私は、不正使用の苦情の数を減らすために、ネットワーク内から外部リソースへのポート スキャンや DoS タイプのアクティビティを停止する方法を見つけようとしています。
iptables や Snort/Suricata を使って、ソースまたは宛先別に接続数を追跡できるツールが多数あることは知っていますが、両方を実行する方法はわかりません。たとえば、特定のホストがインターネット上のさまざまなホストに 50 の送信ポート 80 接続を行っている場合、それはおそらく通常のアクティビティですが、それらの 50 の接続が短期間に 1 つの特定のホストに向かっている場合はそうではない可能性があります。
これまでにこの問題に遭遇した人はいますか? また、対処方法について何かアドバイスはありますか?
ありがとう!