Ловушки для злоумышленников на Mikrotik

Как сделать некую ловушку для тех злоумышленников, которые пытаются подобрать искомую комбинацию?

Суть почти та же, что и в PortKnocking, только добавляются ещё пара правил.

Создаём порт-ловушку

Помещаем злоумышленника в бэд-лист

То есть мы создаём порт-ловушку – 2000-ый. При коннекте на этот порт, злоумышленник попадает в список BadList на пол-часа, для которого существует отдельное запрещающее правило на файрволле.

add action=drop chain=input comment="Hacker Attack Possible" dst-port=80 in-interface=bridge1 protocol=tcp src-address-list=BadList

Которое расположено повыше. в RouterOS важен порядок правил файрволла, поэтому разрешающее правило на нужный порт должно быть в самом низу блока.

Тут можно хитрым образом перемежать порты, участвующие в “тук-тук” и порты-ловушки. Тогда простым сканированием диапазона портов (кстати – это как один из вариантов атаки на PortKnocking) злоумышленник скорее сам добавит себя в чёрный список, чем откроет хитрую “дверку”.

Подобная тема существует на FreeBSD, называется Port Sentry