私は私の仕事をしています。sshd(8)リスニングdomainそしてhttps港。 (このポートでは何が実行できますか?:)
明らかに、実際のDNS(TCPにフォールバックする場合)とHTTPSクライアントは、これらのポートをリッスンするSSHサーバーに接続しようとする可能性があります。 DNS/TCPおよびHTTPS/TCPクライアントから受信した接続試行の回数をどのように知ることができますか?たとえば、DNS / TCPクライアントまたはSSHサーバーと通信するHTTPS / TCPクライアントに固有のサーバーログを取得できるパターンはありますか?これを簡単に表示できるWebツールはありますか?
私はOpenBSD以上にリンクしているので/etc/services、sshdOpenBSDでこれを行う方法に主に興味があります。ただし、これを行うクロスプラットフォームの方法があり、単一のオペレーティングシステムに限定されない場合はそれを含めます。
ベストアンサー1
コンテンツベースのファイアウォールルールを追加して、着信接続の最初の数バイトを分析できます。たとえば、Linuxではiptablesを使用します。
iptables -N notssh
iptables -A input -p tcp --dport 443 -m string --algo bm --from 0 --to 7 ! --string SSH-2.0 -j notssh
ルールのカウンタは、ルールnotsshが作成された後、またはリセットカウンタが使用されてからルールが実行された回数を提供しますiptables -Z notssh。個々のルールのカウンタもあります。
これは、TCP接続の最初のパケットが7バイト未満を含むSSHプロトコルへの接続を誤って計算しますが、実際にはそうではありません。