Ich versuche, eine Möglichkeit zu finden, Port-Scans oder DoS-artige Aktivitäten innerhalb des Netzwerks auf externe Ressourcen zu stoppen, damit ich die Anzahl der Missbrauchsbeschwerden verringern kann.
Obwohl ich weiß, dass es mit iptables oder Snort/Suricata zahlreiche Tools gibt, mit denen Sie die Anzahl der Verbindungen nach Quelle ODER Ziel verfolgen können, habe ich noch keine Möglichkeit gefunden, BEIDES zu tun. Beispielsweise wäre es wahrscheinlich eine normale Aktivität, wenn ein bestimmter Host 50 ausgehende Port-80-Verbindungen zu verschiedenen Hosts im Internet herstellt, aber dies könnte nicht der Fall sein, wenn diese 50 Verbindungen in kurzer Zeit zu einem bestimmten Host gingen.
Ist jemandem dieses Problem schon einmal begegnet und hat er Vorschläge, wie man vorgehen soll?
Danke!