[Sysadmins] IDS lists

Ср Окт 10 10:14:14 MSD 2007

Avramenko Andrew (Wed, 10 Oct 2007 09:54:08 +0400):

> >> А есть в природе что-нибудь готовое наподобие этого:
> >>
> >> Файрволл логирует дропнутые пакеты и потом на основании этого
> >> выносится решение о блокировании некоторых адресов. Например, если
> >> какой-нибудь китаец усердно перебирает пароли к ssh, или ломится
> >> по сети на 135 порт (значит там наверняка троянец-спаммер), то
> >> можно его если не сеть, то хотя бы адрес отфильтровать на доступ к
> >> серверу совсем (или mirror какой на него сделать). Что-то подобное
> >> есть в виндовозном каспере -- "Блокировать сеть атакующего".
> >>
> >> Есть ли какие-нибудь более менее автоматические средства это
> >> сделать или придется велосипед самому писать?
> > На попытки потыкаь в закрытые порты хорошо реагирует portsentry, а
> > на отслеживание перебора паролей хорошо сгодится logwatch (только не
> > помню, не надо ли ему кого-то еще в связку)
> У меня есть подозрения, что нехитрыми манипуляциями можно заставить 
> такие средства заблокировать огромную кучу чужих ip'шников.

Можно блокировать не навсегда, а скажем, на час. Или,
как-нибудь так: допустим, есть счетчик количества атак за единицу
времени. При превышении определенного порога хост блокируется. После
этого при опускании его ниже другого определенного порога хост
разблокируется. Временная блокировка не так страшна.