以下私のドメインにスキャンを掛けてくる一例です
当ドメインの外側のrouter の security log の内容ですが、ssh の可能な IP を
外れた方を dumynet に通しています。
ipfw: 5500 Pipe 7 TCP 64.238.112.202:56744 218.44.161.145:22 in via tun0
ipfw: 5500 Pipe 7 TCP 64.238.112.202:56747 218.44.161.148:22 in via tun0
ipfw: 5500 Pipe 7 TCP 64.238.112.202:56748 218.44.161.149:22 in via tun0
ipfw: 5500 Pipe 7 TCP 64.238.112.202:56746 218.44.161.147:22 in via tun0
ipfw: 5500 Pipe 7 TCP 64.238.112.202:56749 218.44.161.150:22 in via tun0
ipfw: 5600 Pipe 8 TCP 64.238.112.202:56744 218.44.161.145:22 out via rl0
ipfw: 5600 Pipe 8 TCP 64.238.112.202:56747 218.44.161.148:22 out via rl0
ipfw: 5600 Pipe 8 TCP 64.238.112.202:56748 218.44.161.149:22 out via rl0
ipfw: 5600 Pipe 8 TCP 64.238.112.202:56746 218.44.161.147:22 out via rl0
ipfw: 5600 Pipe 8 TCP 64.238.112.202:56749 218.44.161.150:22 out via rl0
pipe 7,8 はバンド幅を10Bit/sec にした dumynet に通している為、
此処を通過し目的の ssh が出来る機械に達するまで5分位掛かるのですが、
諦めず挑戦を仕掛けて来る方がいます。
ssh が出来る機械は login 完了迄の猶予時間を 20sec にセットしています。
で此処で、挑発的行為ですが pipe 7 に入り 218.44.161.150:22 に挑戦された方
に nmap の贈り物が出来ないか考えています。
tail -F /var/log/security | awk /Pipe 7/ && /218.44.161.150:22/ | if
64.238.112.202:56749 then nmap -v -O 64.238.112.202
いい加減に書きましたが、やりたい事。
tail で security log を監視
結果が Pipe 7 で 218.44.161.150:22 を検出したら
ソースが 64.238.112.202:56749 で生存していたら nmap を 64.238.112.202 に届ける
という事が出来ないでしょうか。
熊本県八代郡氷川町吉本103-1
浦口耕也
[メールアドレス保護]
