если вас долбят годами по одним и тем же портам с одними и теми же пакетами - то это боты. можно их в нормальном трафике уже учитывать.

я же сказал - блокируйте страны. оптимальный вариант. особенно если бизнес только внутри страны работает - то тут вообще все просто.

Не факт, что это хороший вариант, бывает бизнес в России, а народ хочет подключаться за пределами ...

@LurikBY В интернете полно робото и ботов которые постоянно сканируют весь диапазон сетей. Куча зловредного ПО занимается сканированием сетей.
Да, конечно это атака, но вы уверены что она целенаправленная?
Попробуйте блокировать айпи, с которого проводилось сканирование на час.
Через час опять сканит? Блокируйте на сутки

под правила памяти может много уйти

ну тут шашечки или ехать, все просто

#естьвопрос
Чего действительно боитесь/опасаетесь/видите риски при сканировании? Чего можно добиться блокировкой (на ча, на сутки или др.)?
- если более менее атака - ипользуют пул ip (одноразовые или редко используются и могут не попасть в блокировку), блокировки не помогут
- если не страшен брутфорс слабых паролей, т.к. аутентфикация по ключам или двухфакторная или парольная политика достаточно надёжна (длина/сложность/сроки)

есть кратковременные сканы по всему пулу наших белых IP (больше сотни), длящиеся час-два, считанные минуты или даже секунды (их замечает SIEM по количеству запросов с одного удаленного хоста за малый промежуток времени). А есть монотонные и ненавязчивые, в час по чайной ложке...

Василий, вы забыли еще про уязимости

баньте все что детектится как скан. Кулхацкеру просто станет скучно и неинтересно сканить вас, если все его айпи улетают в бан. Его работа будет очень долгой. Проще перейти к другой цели. Бот тоже бросит это дело.

Если атаца таргетированная, то в целом вам ничего не поможет, но жизнь усложнит атакующему

блокировка как-то поможет?
- сканирование выявляется по нескольким обращениям, значит информация уже собрана
- если атака - сканят не с одного ip
на одну машину 2*64к портов в UPD/TCP IPv4 - c 10к ip отсканирует и не заблокируете

поможет

10к прокси низкого и среднего качества стоят около 100$
поправьте, если ошибаюсь, это меньше одного "откупа" в случае шифровальщика

как? кроме самоуспокоения, что бы активно противодействуете чему-то

смотрите выше, я там все написал. Поможет, но не от всего, конечно же

смотрю, оценил затраты, бороться дороже, т.к. реальных положительных результатов не видно

затраты на защиту (железо, рабочее время) скорее всего более 100$, атакующий потратит меньше или его квалификация вам не угрожает