From: Timur Batyrshin <batyrshin@ieml.ru>
To: sysadmins@lists.altlinux.org
Subject: Re: [Sysadmins] IDS lists
Date: Wed, 10 Oct 2007 10:14:14 +0400
Message-ID: <20071010101414.4c455f47@batyrshin.ieml.ru> (raw)
In-Reply-To: <470C6900.6070603@mail.ru>
Avramenko Andrew (Wed, 10 Oct 2007 09:54:08 +0400):
> >> А есть в природе что-нибудь готовое наподобие этого:
> >>
> >> Файрволл логирует дропнутые пакеты и потом на основании этого
> >> выносится решение о блокировании некоторых адресов. Например, если
> >> какой-нибудь китаец усердно перебирает пароли к ssh, или ломится
> >> по сети на 135 порт (значит там наверняка троянец-спаммер), то
> >> можно его если не сеть, то хотя бы адрес отфильтровать на доступ к
> >> серверу совсем (или mirror какой на него сделать). Что-то подобное
> >> есть в виндовозном каспере -- "Блокировать сеть атакующего".
> >>
> >> Есть ли какие-нибудь более менее автоматические средства это
> >> сделать или придется велосипед самому писать?
> > На попытки потыкаь в закрытые порты хорошо реагирует portsentry, а
> > на отслеживание перебора паролей хорошо сгодится logwatch (только не
> > помню, не надо ли ему кого-то еще в связку)
> У меня есть подозрения, что нехитрыми манипуляциями можно заставить
> такие средства заблокировать огромную кучу чужих ip'шников.
Можно блокировать не навсегда, а скажем, на час. Или,
как-нибудь так: допустим, есть счетчик количества атак за единицу
времени. При превышении определенного порога хост блокируется. После
этого при опускании его ниже другого определенного порога хост
разблокируется. Временная блокировка не так страшна.
next prev parent reply other threads:[~2007-10-10 6:14 UTC|newest]
Thread overview: 15+ messages / expand[flat|nested] mbox.gz Atom feed top
2007-10-10 5:37 Timur Batyrshin
2007-10-10 5:45 ` Anton Gorlov
2007-10-10 5:48 ` Mikhail A. Pokidko
2007-10-10 5:54 ` Avramenko Andrew
2007-10-10 6:14 ` Timur Batyrshin [this message]
2007-10-10 6:07 ` Aleksey Avdeev
2007-10-10 6:38 ` Timur Batyrshin
2007-10-10 6:20 ` Avramenko Andrew
2007-10-10 6:39 ` Timur Batyrshin
2007-10-10 5:55 ` Michael Shigorin
2007-10-10 6:23 ` Vladimir V. Kamarzin
2007-10-17 13:05 ` Timur Batyrshin
2007-10-18 5:22 ` Vladimir V. Kamarzin
2007-10-18 6:46 ` Timur Batyrshin
2007-10-10 6:32 ` Anton Kvashin
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20071010101414.4c455f47@batyrshin.ieml.ru \
--to=batyrshin@ieml.ru \
--cc=sysadmins@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git