Ловушки для злоумышленников на Mikrotik
Как сделать некую ловушку для тех злоумышленников, которые пытаются подобрать искомую комбинацию?
Суть почти та же, что и в PortKnocking, только добавляются ещё пара правил.
Создаём порт-ловушку
Помещаем злоумышленника в бэд-лист
То есть мы создаём порт-ловушку – 2000-ый. При коннекте на этот порт, злоумышленник попадает в список BadList на пол-часа, для которого существует отдельное запрещающее правило на файрволле.
add action=drop chain=input comment="Hacker Attack Possible" dst-port=80 in-interface=bridge1 protocol=tcp src-address-list=BadList
Которое расположено повыше. в RouterOS важен порядок правил файрволла, поэтому разрешающее правило на нужный порт должно быть в самом низу блока.
Тут можно хитрым образом перемежать порты, участвующие в “тук-тук” и порты-ловушки. Тогда простым сканированием диапазона портов (кстати – это как один из вариантов атаки на PortKnocking) злоумышленник скорее сам добавит себя в чёрный список, чем откроет хитрую “дверку”.
Подобная тема существует на FreeBSD, называется Port Sentry