[Sysadmins] IDS lists
Timur Batyrshin
=?iso-8859-1?q?batyrshin_=CE=C1_ieml=2Eru?=
Ср Окт 10 10:14:14 MSD 2007
Avramenko Andrew (Wed, 10 Oct 2007 09:54:08 +0400):
> >> А есть в природе что-нибудь готовое наподобие этого:
> >>
> >> Файрволл логирует дропнутые пакеты и потом на основании этого
> >> выносится решение о блокировании некоторых адресов. Например, если
> >> какой-нибудь китаец усердно перебирает пароли к ssh, или ломится
> >> по сети на 135 порт (значит там наверняка троянец-спаммер), то
> >> можно его если не сеть, то хотя бы адрес отфильтровать на доступ к
> >> серверу совсем (или mirror какой на него сделать). Что-то подобное
> >> есть в виндовозном каспере -- "Блокировать сеть атакующего".
> >>
> >> Есть ли какие-нибудь более менее автоматические средства это
> >> сделать или придется велосипед самому писать?
> > На попытки потыкаь в закрытые порты хорошо реагирует portsentry, а
> > на отслеживание перебора паролей хорошо сгодится logwatch (только не
> > помню, не надо ли ему кого-то еще в связку)
> У меня есть подозрения, что нехитрыми манипуляциями можно заставить
> такие средства заблокировать огромную кучу чужих ip'шников.
Можно блокировать не навсегда, а скажем, на час. Или,
как-нибудь так: допустим, есть счетчик количества атак за единицу
времени. При превышении определенного порога хост блокируется. После
этого при опускании его ниже другого определенного порога хост
разблокируется. Временная блокировка не так страшна.
Подробная информация о списке рассылки Sysadmins