From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <470C6900.6070603@mail.ru> Date: Wed, 10 Oct 2007 09:54:08 +0400 From: Avramenko Andrew User-Agent: Thunderbird 1.5.0.4 (X11/20060613) MIME-Version: 1.0 To: ALT Linux sysadmin discuss References: <20071010093734.42b1874d@batyrshin.ieml.ru> <21bd5bb90710092248w49de4237qa2442f11915530fb@mail.gmail.com> In-Reply-To: <21bd5bb90710092248w49de4237qa2442f11915530fb@mail.gmail.com> Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit Subject: Re: [Sysadmins] IDS lists X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.9 Precedence: list Reply-To: ALT Linux sysadmin discuss List-Id: ALT Linux sysadmin discuss List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 10 Oct 2007 05:57:12 -0000 Archived-At: List-Archive: Mikhail A. Pokidko пишет: > 10.10.07, Timur Batyrshin написал(а): >> А есть в природе что-нибудь готовое наподобие этого: >> >> Файрволл логирует дропнутые пакеты и потом на основании этого выносится >> решение о блокировании некоторых адресов. Например, если какой-нибудь >> китаец усердно перебирает пароли к ssh, или ломится по сети на 135 >> порт (значит там наверняка троянец-спаммер), то можно его если не сеть, >> то хотя бы адрес отфильтровать на доступ к серверу совсем (или mirror >> какой на него сделать). Что-то подобное есть в виндовозном каспере -- >> "Блокировать сеть атакующего". >> >> Есть ли какие-нибудь более менее автоматические средства это сделать >> или придется велосипед самому писать? > На попытки потыкаь в закрытые порты хорошо реагирует portsentry, а на > отслеживание перебора паролей хорошо сгодится logwatch (только не > помню, не надо ли ему кого-то еще в связку) > > У меня есть подозрения, что нехитрыми манипуляциями можно заставить такие средства заблокировать огромную кучу чужих ip'шников.