[Sysadmins] IDS lists
Mikhail A. Pokidko
=?iso-8859-1?q?mikhail=2Epokidko_=CE=C1_gmail=2Ecom?=
Ср Окт 10 09:48:15 MSD 2007
10.10.07, Timur Batyrshin написал(а):
> А есть в природе что-нибудь готовое наподобие этого:
>
> Файрволл логирует дропнутые пакеты и потом на основании этого выносится
> решение о блокировании некоторых адресов. Например, если какой-нибудь
> китаец усердно перебирает пароли к ssh, или ломится по сети на 135
> порт (значит там наверняка троянец-спаммер), то можно его если не сеть,
> то хотя бы адрес отфильтровать на доступ к серверу совсем (или mirror
> какой на него сделать). Что-то подобное есть в виндовозном каспере --
> "Блокировать сеть атакующего".
>
> Есть ли какие-нибудь более менее автоматические средства это сделать
> или придется велосипед самому писать?
На попытки потыкаь в закрытые порты хорошо реагирует portsentry, а на
отслеживание перебора паролей хорошо сгодится logwatch (только не
помню, не надо ли ему кого-то еще в связку)
--
ALTLinux Team
xmpp: solar AT solar.net.ru
Подробная информация о списке рассылки Sysadmins