남용 신고 건수를 줄이기 위해 네트워크 내부에서 외부 리소스로의 포트 스캔이나 DoS 유형 활동을 차단하는 방법을 찾으려고 노력 중입니다.
소스 또는 대상별로 연결 수를 추적할 수 있는 iptables 또는 Snort/Suricata에 대한 많은 도구가 있다는 것을 알고 있지만 동시에 두 가지를 모두 수행할 수 있는 방법을 찾지 못했습니다. 예를 들어, 특정 호스트가 인터넷의 다양한 호스트에 50개의 아웃바운드 포트 80 연결을 생성하는 경우 이는 정상적인 활동일 수 있지만 해당 50개의 연결이 짧은 시간 내에 특정 호스트로 전송되는 경우 이는 정상적인 활동이 아닐 수 있습니다. .
이전에 이 문제가 발생하여 진행 방법에 대한 제안 사항이 있는 사람이 있습니까?
감사해요!