[Sysadmins] IDS lists

Ср Окт 10 09:54:08 MSD 2007

Mikhail A. Pokidko пишет:
> 10.10.07, Timur Batyrshin написал(а):
>> А есть в природе что-нибудь готовое наподобие этого:
>>
>> Файрволл логирует дропнутые пакеты и потом на основании этого выносится
>> решение о блокировании некоторых адресов. Например, если какой-нибудь
>> китаец усердно перебирает пароли к ssh, или ломится по сети на 135
>> порт (значит там наверняка троянец-спаммер), то можно его если не сеть,
>> то хотя бы адрес отфильтровать на доступ к серверу совсем (или mirror
>> какой на него сделать). Что-то подобное есть в виндовозном каспере --
>> "Блокировать сеть атакующего".
>>
>> Есть ли какие-нибудь более менее автоматические средства это сделать
>> или придется велосипед самому писать?
> На попытки потыкаь в закрытые порты хорошо реагирует portsentry, а на
> отслеживание перебора паролей хорошо сгодится logwatch (только не
> помню, не надо ли ему кого-то еще в связку)
> 
> 

У меня есть подозрения, что нехитрыми манипуляциями можно заставить 
такие средства заблокировать огромную кучу чужих ip'шников.