Eu recomendo a você o Snortsam. Tudo são possibilidades de como vc pode resolver seu problema. Teste e escolha a opção que pode atender suas necessidades =)
http://global-security.blogspot.com/2008/04/block-bad-oss-ips-with-content.h tml Gilliatt Borges Bastos Atrium São Paulo Consultores www.atriumsp.com.br Fone: 55 11 3049-1175 skype: gilliattbastos Msn: [EMAIL PROTECTED] P Antes de imprimir pense em seu compromisso com o Meio Ambiente e o comprometimento com os Custos As informações existentes nessa mensagem e nos arquivos anexados são para uso restrito, sendo seu sigilo protegido por lei. Caso não seja destinatário, saiba que leitura, divulgação ou cópia são proibidas. Favor apagar as informações e notificar o remetente. O uso impróprio será tratado conforme as normas da empresa e a legislação em vigor. The information contained in this message and in the attached files are restricted, and its confidentiality protected by law. In case you are not the addressee, be aware that the reading, spreading and copy of this message is unauthorized. Please, delete this message and notify the sender. The improper use of this information will be treated according the company's internal rules and legal laws. > -----Mensagem original----- > De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome > de Jorge Petry > Enviada em: segunda-feira, 30 de junho de 2008 11:45 > Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > Assunto: Re: [FUG-BR] RES: apache > > Cara, coloca o pf pra rodar e coloca essa regra junto. > > tcp_services = "{80}" > > table <bruteforce> persist > block log quick from <bruteforce> > pass inet proto tcp from any to $ext_if port $tcp_services flags S/SA > synproxy state (max-src-conn 100, max-src-conn-rate 15/5, overload > <bruteforce> flush global) > > > Depois vc verifica com o comando "pfctl -t bruteforce -R sh" pra ver se > tem alguma coisa na tabela de bloqueados. > > Para verificar o que o firewall esta bloqueando e logando roda o comando > "tcpdump -e -n -ttt -i pflog0" > > Depois manda noticias ai. > > Abraço. > > > > _________________________________________ > * *Jorge Petry Neto * > *Administrador de Redes e Servidores > (48) 8401-4436 > [EMAIL PROTECTED] <mailto:[EMAIL PROTECTED]>* > **www.jspnet.com.br * <http://www.jspnet.com.br/> > > > Augusto Ferronato escreveu: > > Tem como Snort + PF ?? > > > > Já vi Snort + IPTABLES e foi ralado pra configurar! > > > > Abs[] > > > > 2008/6/30 Gilliatt Borges Bastos [ Atrium SP Consultores ] < > > [EMAIL PROTECTED]>: > > > > > >> Antonio Carlos, > >> > >> Eu acho a melhor opção nesses casos é utilizar um IDS, como o Snort, > para > >> identificar e criar uma regra dinâmica no seu firewall bloqueando o > >> atacante. > >> > >> Gilliatt Borges Bastos > >> Atrium São Paulo Consultores > >> www.atriumsp.com.br > >> Fone: 55 11 3049-1175 > >> skype: gilliattbastos > >> Msn: [EMAIL PROTECTED] > >> > >> P Antes de imprimir pense em seu compromisso com o Meio Ambiente e o > >> comprometimento com os Custos > >> > >> As informações existentes nessa mensagem e nos arquivos anexados são > para > >> uso restrito, sendo seu sigilo protegido por lei. Caso não seja > >> destinatário, saiba que leitura, divulgação ou cópia são proibidas. > Favor > >> apagar as informações e notificar o remetente. O uso impróprio será > tratado > >> conforme as normas da empresa e a legislação em vigor. > >> > >> The information contained in this message and in the attached files are > >> restricted, and its confidentiality protected by law. In case you are > not > >> the addressee, be aware that the reading, spreading and copy of this > >> message > >> is unauthorized. Please, delete this message and notify the sender. The > >> improper use of this information will be treated according the > company's > >> internal rules and legal laws. > >> > >> > >>> -----Mensagem original----- > >>> De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em > >>> > >> nome > >> > >>> de Jorge Petry > >>> Enviada em: segunda-feira, 30 de junho de 2008 11:16 > >>> Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > >>> Assunto: Re: [FUG-BR] apache > >>> > >>> qual firewall vc usa??? > >>> Antonio Carlos da Rocha Jr escreveu: > >>> > >>> Bom dia lista, tudo bem colegas, estou tendo problema com ataques no > >>> apache, quase todo dia estou sofrendo ataques no servidor web da > >>> empresa, gostaria de saber se tem algum jeito de bloquear o ip do > >>> atacante ... algo que depois de 5 requisicoes ele bloqueace o ip por > >>> uma 30 hora ... > >>> > >>> > >>> Antono Carlos > >>> > >>> ------------------------- > >>> Histórico: [1]http://www.fug.com.br/historico/html/freebsd/ > >>> Sair da lista: [2]https://www.fug.com.br/mailman/listinfo/freebsd > >>> > >>> > >>> -- > >>> > >>> _________________________________________ > >>> Jorge Petry Neto > >>> Administrador de Redes e Servidores > >>> (48) 8401-4436 > >>> [EMAIL PROTECTED] > >>> [4]www.jspnet.com.br > >>> > >>> References > >>> > >>> 1. http://www.fug.com.br/historico/html/freebsd/ > >>> 2. https://www.fug.com.br/mailman/listinfo/freebsd > >>> 3. mailto:[EMAIL PROTECTED] > >>> 4. http://www.jspnet.com.br/ > >>> ------------------------- > >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >>> > >> ------------------------- > >> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >> > >> > > > > > > > > > > -- > > > > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
