From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Tue, 7 Mar 2006 11:52:37 +0200 From: "Dmitriy L. Kruglikov" To: sysadmins@lists.altlinux.org Message-ID: <20060307115237.0b04d28a@shadow.orionagro.com.ua> Organization: ORION AGRO X-Mailer: Sylpheed-Claws 2.0.0cvs41 (GTK+ 2.8.12; i586-alt-linux-gnu) Mime-Version: 1.0 Content-Type: text/plain; charset=KOI8-R Content-Transfer-Encoding: 8bit X-Virus-Scanned: amavisd-new at orionagro.com.ua Subject: [Sysadmins] Snort rules X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.6 Precedence: list Reply-To: ALT Linux sysadmin discuss List-Id: ALT Linux sysadmin discuss List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 07 Mar 2006 09:52:52 -0000 Archived-At: List-Archive: Доброго времени суток, коллеги. Окажите содействие в написании правила Snort для обнаружения попыток подключения к порту 22 с частотой выше некоторой разумной. Brute force атака ... Расшифровывать трафик нет необходимости... Я думаю, что сам факт попыток подключения каждые 3 секунды - уже аномально ... :) Мое правило не всегда работает... :( Препарируйте: alert tcp $EXTERNAL_NET any -> ХХХ.ХХХ.ХХХ.ХХХ 22 (msg:"SSH brute force attempt"; flow:to_server,established; threshold:type threshold, track by_dst, count 10, seconds 60; classtype:suspicious-login; sid:1000999; rev:2;) Для справок: Я пользуюсь BlockIt для автоматического добавления адреса атакующего в iptables. Flexresp мне не понравился .... Может быть, потому что правила срабатывают не всегда, и нет возможности проверить, что, где и как сработало. -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov@orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ (| | ) /'\_ _/`\ Powered by Linux \___)=(___/