[Sysadmins] Snort rules

Вт Мар 7 12:52:37 MSK 2006

Доброго времени суток, коллеги.

Окажите содействие в написании правила Snort для 
обнаружения попыток подключения к порту 22 
с частотой выше некоторой разумной.
Brute force атака ...

Расшифровывать трафик нет необходимости...
Я думаю, что сам факт попыток подключения каждые 3 секунды - уже
аномально ... :)

Мое правило не всегда работает... :(

Препарируйте:
alert tcp $EXTERNAL_NET any -> ХХХ.ХХХ.ХХХ.ХХХ 22 (msg:"SSH brute force
attempt"; flow:to_server,established; threshold:type threshold, track
by_dst, count 10, seconds 60; classtype:suspicious-login; sid:1000999;
rev:2;)

Для справок: Я пользуюсь BlockIt для автоматического добавления
адреса атакующего в iptables.

Flexresp мне не понравился .... Может быть, потому что правила
срабатывают не всегда, и нет возможности проверить, что, где и как
сработало.

--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov на orionagro.com.ua      |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/