Я пытаюсь найти способ остановить сканирование портов или DoS-активности внутри сети в отношении внешних ресурсов, чтобы сократить количество жалоб на злоупотребления.
Хотя я знаю, что есть множество инструментов с iptables или с Snort/Suricata, которые позволяют отслеживать количество подключений по источнику ИЛИ месту назначения, я не нашел способа сделать ОБА. Например, это, вероятно, было бы нормальной активностью, если бы определенный хост делал 50 исходящих подключений через порт 80 к различным хостам в Интернете, но это могло бы быть не так, если бы эти 50 подключений направлялись к одному определенному хосту за короткий промежуток времени.
Кто-нибудь сталкивался с этой проблемой раньше и есть ли у вас предложения, как ее решить?
Спасибо!