SNORT



  • Bonjour,

    une question me taraude….quand SNORT bloque une ip... IL bloque l'ip suivant le port source?

    Je m'explique, j'ai un gentil gars, qui fait du scan sur le port ssh, puis une p tite tentave de brute force... soit, son ip a déjà été bloqué 6 fois o0...

    Donc première fois, il détecte , il bloque l'ip...puis je vois dans les logs que le mec est re-tenter avec la même ip, sauf le port source...

    Ne peut-il pas bloquer l'ip directement. quelque que soit le port source par lequel il "attaque"?



Log in to reply