首先感谢 openSUSE 默认防火墙策略帮我们挡住了很多端口扫描
我的服务器有公网地址,每天几千次端口扫描和SSH爆破。dmesg看不过来了都。
要减少不必要的日志,YaST firewall,调整 log 级别。
防火墙日志文件是 /var/log/firewall,我这几条就当抛砖引玉了。
1. 扫描最频繁的端口列表,按频率排序:
cat /var/log/firewall|grep DROP|grep TCP|sed 's/.*SRC=\(.*\) DST.*DPT=\(.*\) WINDOW.*/\2/'|sort|uniq -c|sort -rn
2. 扫描最频繁的源IP与目标TCP端口,按频率排序:
cat /var/log/firewall|grep DROP|grep TCP|sed 's/.*SRC=\(.*\) DST.*DPT=\(.*\) WINDOW.*/\1 \2/'|sort|uniq -c|sort -rn
3. 扫描最频繁的源IP所在 /24 子网,按频率排序:
cat /var/log/firewall|grep DROP|grep TCP|sed 's/.*SRC=\(.*\) DST.*DPT=\(.*\) WINDOW.*/\1/'|sed 's/\.[0-9]*$//'|sort|uniq -c|sort -rn