[Sysadmins] IDS lists

Ср Окт 10 09:45:05 MSD 2007

Timur Batyrshin пишет:
> А есть в природе что-нибудь готовое наподобие этого:
> Файрволл логирует дропнутые пакеты и потом на основании этого выносится
> решение о блокировании некоторых адресов. Например, если какой-нибудь
> китаец усердно перебирает пароли к ssh, или ломится по сети на 135
> порт (значит там наверняка троянец-спаммер), то можно его если не сеть,
> то хотя бы адрес отфильтровать на доступ к серверу совсем (или mirror
> какой на него сделать). Что-то подобное есть в виндовозном каспере --
> "Блокировать сеть атакующего".

Я нечто подобное делал через --limit rate --limit-burs.. если слишком 
много соеднинений - делал drop