Snort é uma caixinha de falsos positivos...

Uma idéia: coloca um iptables na entrada suspeita logando todas as conexões
de todos os clientes. No fim do dia, você faz uma contagem de conexões por
IP. Isso vai lhe mostrar algumas coisas. Use também o IPtraf para ver as
portas mais utilizadas (Statistical Breakdowns). Isso poderá ajudar.

Coloque, mesmo que temporariamente, um HLBR (um Intrusion Prevention System
facílimo de configurar) entre os clientes e você. http://hlbr.sf.net. Isso
você configura em um Pentium II com 128 Mb e 2 placas de rede em 15 minutos.
Obs: não tire dúvidas sobre o HLBR aqui. É off-topic! Use a lista dele ou
mande para o meu e-mail. Ou use a lista Servux.

Use tcpdump para monitorar algum tráfego específico. Mas para sermos mais
objetivos, terei que saber o resultado das ações anteriores. Aí saberei o
que monitorar.

[]s

Eriberto - www.eriberto.pro.br



Em 25/01/07, [FOX] Fabricio Figueiredo Leao <[EMAIL PROTECTED]>
escreveu:
>
>   Simplesmente de uma hora pra outra, vai inchando a rede... e comeca a
> parar as bridges.
>


[As partes desta mensagem que não continham texto foram removidas]

Responder a