[Sysadmins] IDS lists

Ср Окт 17 17:05:00 MSD 2007

Vladimir V. Kamarzin (Wed, 10 Oct 2007 12:23:14 +0600):

>  TB> А есть в природе что-нибудь готовое наподобие этого:
>  TB> Файрволл логирует дропнутые пакеты и потом на основании этого
>  TB> выносится решение о блокировании некоторых адресов. Например,
>  TB> если какой-нибудь китаец усердно перебирает пароли к ssh, или
>  TB> ломится по сети на 135 порт (значит там наверняка
>  TB> троянец-спаммер), то можно его если не сеть, то хотя бы адрес
>  TB> отфильтровать на доступ к серверу совсем (или mirror какой на
>  TB> него сделать). Что-то подобное есть в виндовозном каспере --
>  TB> "Блокировать сеть атакующего".
> 
> Пример блокировки ssh от asy@:
> 
> # cat /etc/net/ifaces/top/fw/iptables/filter/INPUT
> [...]
> # ssh restriction
> -p TCP --syn --dport 22 -s xxx.xxx.xxx.0/28 -j ACCEPT
> -p TCP --syn --dport 22 -m recent --name ssh_rate_limit --set
> -p TCP --syn --dport 22 -m recent --name ssh_rate_limit --update
> --seconds 60 --hitcount 4 -j LOG
> -p TCP --syn --dport 22 -m recent --name ssh_rate_limit --update
> --seconds 60 --hitcount 4 -j DROP

А в последнем случае не лучше будет --rcheck вместо --update ?
Иначе каждый syn будет считаться дважды.