Domniemane skanowanie portow
samcik - 23-02-2009 09:52
Domniemane skanowanie portow
Dzien dobry,
Mam problem - na swoim serwerze mam zainstalowany software, ktory 24h na dobe testuje serwery proxy, co wyglada mniej wiecej tak, ze wysyla requesty po http przez proxy, czyli laczy sie z tego samego IP z roznymi IP na rozych portach, co jest chyba przez obsluge OVH interpretowane jak skanowanie portow z mojej maszyny.
Pytanie za 10 punktow - co mam zrobic, zeby nie blokowano mi serwera co chwile, zebym mogl normalnie korzystac ze swojego oprogramowania ?
Pozdrawiam,
Tomek Samcik.
linx - 23-02-2009 10:03
Z jakiego poziomu to robisz??
php, bash... i w jakiej postaci??
mario1973 - 23-02-2009 10:19
Z jaką to robisz częstotliwością ? Bo to raczej z tym jest problem w przypadku wykrywania skanów. Poza tym sprawdzasz chyba tylko stosunkowo niewiele konkretnych portów, i raczej jedno IP i jeden port, a nie każde IP skanujesz po różnych portach.
Sądzę, że nie ma z tym problemu.
Może niech ktoś z OVH się wypowie.
M
samcik - 23-02-2009 10:55
Robie to z poziomu aplikacji Javowej i wielowatkowo, wiec czestotliwosc moze byc duza, mysle, ze kilka requestow na sekunde.
Rzeczywiscie pula portow jest ograniczona i zazwyczaj jedno IP + jeden port, ale mimo to zablokowali mi serwer, chyba, ze rzeczywiscie mialem wlam i uruchomiony skaner portow, ale nie chce mi sie w to wierzyc.
Kontaktowalem sie przed chwila z pomoca OVH i powiedzieli mi, ze niewiele mozna zrobic - jak cos im wyglada na skanowanie portow, to od razu blokuja serwer.
T.
mario1973 - 23-02-2009 17:02
Cytat:
wiec czestotliwosc moze byc duza, mysle, ze kilka requestow na sekunde.
no nieźle, to ile Ty 'przemielasz' tych serwerów proxy ? miliony ? skoro robisz kilka requestów na sek.
M
sLoDkI - 24-02-2009 10:37
;-)
Problem jest taki: jak rozróżnić "dobre" skanowanie od "złego" skanowania. Jeżeli zwolnisz trochę swój skrypt (co przy skanowaniu, sorry - monitorowaniu usług kilku serwerów) nie odbija się na wydajności zbytnio - nie powinieneś mieć problemów. Jeżeli musisz monitorować kilkadziesiąt lub kilkaset maszyn - no to jest problem.
Jeżeli skanujesz więcej niż kilkanaście maszyn/5min - możesz dostać alerty.
Jeżeli skanujesz szybciej niż kilka maszyn/sek - możesz dostać alerty.
Być może w przyszłości uruchomimy usługę zezwalającą na skanowanie (dla serwisów monitorujących) ale na razie nie jestem w stanie nic powiedzieć.
Pozdrawiam.
zanotowane.pldoc.pisz.plpdf.pisz.plkonstruktor.keep.pl