Avramenko Andrew (Wed, 10 Oct 2007 09:54:08 +0400): > >> А есть в природе что-нибудь готовое наподобие этого: > >> > >> Файрволл логирует дропнутые пакеты и потом на основании этого > >> выносится решение о блокировании некоторых адресов. Например, если > >> какой-нибудь китаец усердно перебирает пароли к ssh, или ломится > >> по сети на 135 порт (значит там наверняка троянец-спаммер), то > >> можно его если не сеть, то хотя бы адрес отфильтровать на доступ к > >> серверу совсем (или mirror какой на него сделать). Что-то подобное > >> есть в виндовозном каспере -- "Блокировать сеть атакующего". > >> > >> Есть ли какие-нибудь более менее автоматические средства это > >> сделать или придется велосипед самому писать? > > На попытки потыкаь в закрытые порты хорошо реагирует portsentry, а > > на отслеживание перебора паролей хорошо сгодится logwatch (только не > > помню, не надо ли ему кого-то еще в связку) > У меня есть подозрения, что нехитрыми манипуляциями можно заставить > такие средства заблокировать огромную кучу чужих ip'шников.
Можно блокировать не навсегда, а скажем, на час. Или, как-нибудь так: допустим, есть счетчик количества атак за единицу времени. При превышении определенного порога хост блокируется. После этого при опускании его ниже другого определенного порога хост разблокируется. Временная блокировка не так страшна. _______________________________________________ Sysadmins mailing list [email protected] https://lists.altlinux.org/mailman/listinfo/sysadmins
