[Sysadmins] IDS lists

[Timur Batyrshin]

Vladimir V. Kamarzin (Thu, 18 Oct 2007 11:22:49 +0600):

> >> Пример блокировки ssh от asy@:
> >> 
> >> # cat /etc/net/ifaces/top/fw/iptables/filter/INPUT
> >> [...]
> >> # ssh restriction
> >> -p TCP --syn --dport 22 -s xxx.xxx.xxx.0/28 -j ACCEPT
> >> -p TCP --syn --dport 22 -m recent --name ssh_rate_limit --set
> >> -p TCP --syn --dport 22 -m recent --name ssh_rate_limit --update
> >> --seconds 60 --hitcount 4 -j LOG
> >> -p TCP --syn --dport 22 -m recent --name ssh_rate_limit --update
> >> --seconds 60 --hitcount 4 -j DROP
> 
>  TB> А в последнем случае не лучше будет --rcheck вместо --update ?
>  TB> Иначе каждый syn будет считаться дважды.
> 
> Как вы это определили?
> 

Выдержка из man-а:

---
       [!] --rcheck
              Check if the source address of the packet is currently in
the list.

       [!] --update
              Like --rcheck, except it will update the "last seen"
timestamp if it matches.
---

Правда, с другой стороны:
---
       [!] --hitcount hits
              This option must be used in conjunction with one of
--rcheck or --update. When used, this will nar-
              row  the match to only happen when the address is in the
list and packets had been received greater
              than or equal to the given value. This option may be used
along with --seconds to  create  an  even
              narrower match requiring a certain number of hits within
a specific time frame.
---

Не совсем понятно, считает он сами пакеты (в этом случае,
действительно, не важно сколько раз --update встречается в цепочке) или
же совпадения правила?