这两天登录服务器,突然从金盾的状态监控中发现服务器网络连接数达到了350左右,我的服务器是多个IP的,装的是单网卡无线连接数的金盾软件防火墙:
服务器只放了一些网站,根据以往的情况,连接数一般都在几十而已,不会达到上百,当下就意识到估计又是有人在对服务器进行恶意扫描了。
通过金盾的“功能选项”菜单中:
选择“连接列表”查看这么多连接具体是连接什么端口:
看到这么多相同的IP连接到服务器的3389端口和21端口,而且连接数量都有很多,很明显是黑客在对服务器这2个端口进行扫描。
80端口是网站IIS服务的端口,连接这个端口的一般都是正常的访问网站的连接
3389端口是windows服务器的远程登录端口
21端口是服务器FTP端口
情况已经很明显了,是203.144段的这个IP在对服务器进行扫描要屏蔽它的扫描非常简单,直接右键点连接列表中的这个IP,在弹出的菜单中选择“屏蔽单一IP”,这个IP就被加到规则列表中,并且屏蔽起来了:
IP屏蔽起来之后,这个IP所有到服务器的连接都会被服务器拒绝,它就没办法再对服务器进行扫描了:
通过上图的“规则列表”可以看到这个IP已经被设置了屏蔽了,在规则的最后边有一个“匹配”的列,显示的是这个IP又连接了服务器几次(当然,IP已经屏蔽起来,这些被匹配的连接都是被服务器拒绝了的,等匹配数量不再增加的时候,就可以考虑删除这条规则了,因为那个时候表示对方已经没有再打我们的主意了)
这个时候回头看看服务器连接数,发现已经降到正常水平了,就这么简单地成功对一次黑客扫描说“不”: