Блокировка сканеров [PSD]

Используется для ловли и блокировки IP, которые пытаются просканировать порты tcp/udp MikroTik

Профессиональная настройка MikroTik
Без предоплаты

Telegram: @Engineer_MikroTik

PSD пытается обнаружить сканирование TCP и UDP. Параметры настройки имеют следующий формат:

  • Weight Threshold — общий вес последних пакетов TCP/UDP с разными портами назначения, поступающих с одного хоста, который будет рассматриваться как последовательность сканирования портов. (По умолчанию 21)
  • Delay Threshold — задержка для пакетов с разными портами назначения, приходящих с одного и того же хоста, которая будет рассматриваться как возможная подпоследовательность сканирования портов. (По умолчанию 3 сек)
  • Low Port Weight — вес пакетов с привилегированным (<1024) портом назначения.
  • High Port Weight — вес пакета с непривилегированным портом назначения.
Блокировка сканеров [PSD]
Аналогично делаем для TCP
Блокировка сканеров [PSD]
Выставляем порог срабатывания. Задержка между прощупыванием портов 3 секунды, если за это время отсканирован новый порт, то IP получает 3 балла за порты 0-1024 и 1 балл за порты > 1025
При превышении количества баллов 21 единице, IP по правилу ниже
Блокировка сканеров [PSD]
Попадает в Address List src_psd

Потенциально опасная настройка, перед блокировкой изучите попадаемые адреса и сделайте исключения.

Блокировка сканеров [PSD]
Для экономии ресурсов MikroTik, блокируем в Firewall Raw
Блокировка сканеров [PSD]
Блокируем PSD лист

Конечно можно использовать Tarpit в Firewall, но тратить ресурсы MikroTik на это не имеет смысла, к тому сервисы по проверке портов (https://2ip.ru/port-scaner/) при наличии Tarpit будут видеть порты, как открытые.

При тестировании, сканер от 2ip.ru попал в лист.

Блокировка сканеров [PSD]
Блокировка сканеров [PSD]
Сканер смотрит заранее известные порты, по этому первые 7 вполне может увидеть. Но этому нужно экспериментировать с настройкой.
Top