掃描感知
掃描感知使用 eBPF 被動偵測針對您伺服器的入站連接埠掃描,記錄這些掃描,並可選擇自動封鎖發動掃描的 IP 位址。 它協助您了解誰在探測您的伺服器、他們針對哪些連接埠以及來自何處。
WARNING
掃描感知仰賴 Linux eBPF 子系統(TC ingress)。 它僅在核心版本夠新的 Linux 伺服器上可用。 在不支援的平台上,偵測器將不會啟動,也不會收集任何掃描資料。
運作原理
啟用後,面板會將一個輕量級 eBPF 程式掛載到您的網路介面,並直接在核心中檢查入站封包:
- 對於 TCP,只有 SYN 封包(新建連線嘗試)才會被視為潛在掃描。
- 對於 UDP,來自知名服務來源連接埠的回應流量(例如 DNS
53/853、NTP123、DHCP67/68/546/547、HTTPS/QUIC443、mDNS5353以及 IKE/IPsec500/4500)會被忽略,因為它幾乎總是對您自己出站請求的回覆。 - 對於實際正在監聽服務的連接埠,其連線嘗試會被略過。 偵測器會維護一份最新的監聽連接埠清單,僅將針對已關閉或未使用連接埠的嘗試記錄為掃描。
偵測到的事件會在記憶體中彙整,並定期寫入專用資料庫。 每個由來源 IP、連接埠、通訊協定和日期組成的唯一組合只會儲存一次,並帶有命中計數器,因此重複的探測會被累加計數而非重複儲存。 若面板上已設定 GeoIP 資料庫,則會解析來源 IP 的國家、地區、城市和 ISP,並附加到每個事件上。
開啟頁面
掃描感知位於防火牆模組內:
- 在主導覽中進入防火牆。
- 開啟掃描感知分頁以檢視儀表板和事件。
- 開啟設定分頁以設定此功能。
若尚未啟用掃描感知,掃描感知分頁會顯示一則提示,引導您先從設定分頁中啟用它。
掃描設定
以下所有選項皆在防火牆 -> 設定的掃描感知區段中進行設定。 點選儲存以套用您的變更。
掃描感知
總開關。 關閉後,eBPF 偵測器會停止,不再收集新的掃描資料。 既有資料會保留,直到被清除或過期淘汰。
保留天數
掃描記錄保留的時間長度,以天為單位。 預設為 30(範圍 1-365)。 超過保留期限的記錄會被自動移除。
網路介面
選擇偵測器應監控的網路介面。 這是一份伺服器上可用介面的多選清單。
- 留空則讓面板自動偵測介面(佔位符顯示為_自動偵測_)。
- 回送介面永遠不會被監控。
清單中顯示的內容請參閱下方的可用介面。
自動封鎖
啟用後,掃描過於頻繁的來源 IP 會在防火牆處被自動封鎖。 以下選項僅在啟用自動封鎖時出現。
WARNING
自動封鎖僅在系統防火牆執行時生效。 若防火牆已停止,則不會進行任何自動封鎖。
| 選項 | 預設值 | 範圍 | 說明 |
|---|---|---|---|
| 封鎖門檻 | 100 | 1-100000 | 單一 IP 在時間範圍內觸發封鎖所需的掃描命中次數。 |
| 時間範圍(分鐘) | 5 | 1-1440 | 依 IP 統計掃描命中次數的滾動範圍。 |
| 封鎖時間(小時) | 0 | 0-87600 | 被自動封鎖的 IP 維持封鎖的時間長度。 0 表示永久(該 IP 不會被自動解除封鎖)。 |
當某個 IP 在範圍內達到門檻時,它會被新增為一條針對入站流量的 drop 規則。 若已設定封鎖時間,該 IP 會在時間結束後被自動解除封鎖。
IP 白名單
一份永遠不會被自動封鎖的 IP 位址或 CIDR 範圍清單。 以標籤形式新增項目。 單一 IP(例如 203.0.113.10)與 CIDR 範圍(例如 203.0.113.0/24)皆可接受。 回送位址和未指定位址一律視為已加入白名單。
TIP
白名單僅防止自動封鎖。 它不影響手動封鎖操作或在防火牆其他位置建立的規則。
可用介面
網路介面選擇器會列出伺服器的介面(不含回送)。 對於每個介面,它會顯示名稱及其指派的 IP 位址;當沒有位址時則顯示其連結狀態(up / down)。
儀表板
掃描感知分頁有兩個檢視,透過頂部的分段控制項切換:概覽和掃描事件。 工具列上的日期範圍選擇器控制兩個檢視所顯示的時間段(預設為最近 7 天)。
概覽
概覽會顯示所選日期範圍內的彙整統計和排名。
彙整卡片
三張彙整卡片會顯示該時間段的總計,每張都帶有一個上/下箭頭,指示其數值相比上一個等長時間段是增加還是減少:
- 掃描總數 — 掃描命中的總次數。
- 被掃描連接埠 — 被針對的不同連接埠數量。
- 來源 IP — 不同來源 IP 位址的數量。
掃描趨勢
一張折線圖,在所選範圍內繪製兩條每日資料序列:
- 掃描次數 — 每天的掃描命中總數。
- 來源 IP — 每天不同來源 IP 的數量。
來源 IP 前 10 名
最活躍的掃描 IP 表格,包括:
| 欄 | 說明 |
|---|---|
| 來源 IP | 進行掃描的 IP 位址。 |
| 位置 | 國家、地區和城市(在可用時透過 GeoIP 解析)。 |
| 掃描次數 | 來自該 IP 的掃描命中總數。 |
| 連接埠數 | 該 IP 針對的不同連接埠數量。 |
| 最後出現 | 最近一次觀察到該 IP 的時間。 |
| 操作 | 一個用於手動封鎖該 IP 的封鎖按鈕(見下文)。 |
被掃描連接埠前 10 名
最頻繁被探測的連接埠表格:
| 欄 | 說明 |
|---|---|
| 連接埠 | 被針對的連接埠編號。 |
| 通訊協定 | tcp 或 udp。 |
| 掃描次數 | 針對該連接埠的掃描命中總數。 |
| IP 數 | 針對該連接埠的不同 IP 數量。 |
掃描事件
掃描事件檢視會列出單筆掃描記錄(每列對應一個來源 IP / 連接埠 / 通訊協定 / 日期),並支援完整分頁。 每列包含來源 IP、位置、連接埠、通訊協定、掃描次數、首次出現、最後出現以及一個封鎖操作。
您可以使用工具列輸入欄位篩選清單:
- 搜尋 IP — 依來源 IP 比對(支援部分比對)。
- 連接埠 — 比對精確的連接埠編號。
- 位置 — 比對國家、地區、城市或 ISP(支援部分比對)。
在篩選欄位中按 Enter 鍵即可套用篩選。 每頁列數可設定為 20、50 或 100 列。
封鎖 IP
在來源 IP 前幾名表格和掃描事件表格中,封鎖按鈕都會為所選 IP 建立一條入站 drop 規則。 通訊協定家族(IPv4 或 IPv6)會根據位址自動偵測,規則同時涵蓋 TCP 和 UDP。 在套用封鎖前會要求您確認。
TIP
此手動封鎖獨立於自動封鎖。 它會立即生效,無論門檻設定為何,並且會忽略 IP 白名單。
清除資料
工具列上的清除資料按鈕會移除所有已儲存的掃描記錄。 在清除資料前會要求您確認。 這只會影響歷史掃描資料;您的設定和任何防火牆規則都不會被變更。
DANGER
清除資料無法復原。 所有掃描歷史、彙整、趨勢和排名都會被永久刪除。
注意事項
- 掃描資料儲存在專用資料庫中,並隨您伺服器收到的探測數量而增長。 更長的保留期限會佔用更多磁碟空間。
- 只有針對已關閉/未使用連接埠的入站連線嘗試才會被記錄;針對有活躍服務連接埠的流量不會被計為掃描。
- 位置和 ISP 資訊僅在面板上設定了 GeoIP 資料庫時可用;否則這些欄位會顯示為空。
- 停用掃描感知會停止收集,但不會刪除既有資料;請使用清除資料來移除它。