Estoy tratando de encontrar una manera de detener los escaneos de puertos o las actividades de tipo DoS desde dentro de la red hacia recursos externos para poder reducir la cantidad de quejas de abuso.
Si bien sé que existen numerosas herramientas con iptables o con Snort/Suricata que pueden permitirle rastrear el número de conexiones por origen O destino, no he descubierto una manera de hacer AMBAS. Por ejemplo, probablemente sería una actividad normal si un host en particular estuviera realizando 50 conexiones de puerto de salida 80 a varios hosts en Internet, pero podría no ser así si esas 50 conexiones fueran a un host en particular en un corto período de tiempo.
¿Alguien ha encontrado este problema antes y tiene alguna sugerencia sobre cómo proceder?
¡Gracias!