BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 8 ] 
Автор Сообщение
СообщениеДобавлено: Сб 04 авг, 2007 5:32 pm 
Не в сети

Зарегистрирован: Вт 14 дек, 2004 6:29 pm
Сообщения: 58
В общем совсем запарили нападками на сервер нехорошие люди... сначало дДосили апачь после стали ддосить как-то по другому есть подозрения на SYN_FLOOD или что-то типа того, может кто сталкивался с таким? Подскажите может какие советы есть, уже всё перепробовал....

И ещё дополню, есть пара вопросов относитело файрвола, к примеру каким правилом самое эффективное игнорировать айпи? Причём вообще и что более эффективное deny ip или deny tcp и как это влияет на SYN_FLOOD , так же если кто знает можно ли как-то записать айпишники из tcpdump в файл без всяких сочетаний, то есть абсолютно голый список айпишников? Очень буду благодарен за ответ.


Последний раз редактировалось RomanBSD Вс 05 авг, 2007 12:14 am, всего редактировалось 1 раз.

Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Сб 04 авг, 2007 8:23 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Чт 24 мар, 2005 11:53 am
Сообщения: 63
смотреть ip писать письма
настроить фаер - статей по етому поводу ><


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Сб 04 авг, 2007 8:37 pm 
Не в сети

Зарегистрирован: Сб 26 июн, 2004 2:21 pm
Сообщения: 3567
Откуда: Рига
если всё совсем так плохо, можно и NDIS организовать. например Snort


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Сб 04 авг, 2007 9:20 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Вс 10 сен, 2006 10:54 am
Сообщения: 474
Откуда: POSIX
http://www.lissyara.su/?id=1450


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Сб 04 авг, 2007 11:48 pm 
Не в сети

Зарегистрирован: Вт 14 дек, 2004 6:29 pm
Сообщения: 58
alfss писал(а):
смотреть ip писать письма
настроить фаер - статей по етому поводу ><


Айпишники видны только через tcpdump - netstat молчит... как будто всё чисто...

письма писать не имеет смысла, так как атаки идут с нескольких десятков тысяч айпишников... причём они постоянно обновляются.. то есть старые вымирают и приходят новые...


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Сб 04 авг, 2007 11:56 pm 
Не в сети

Зарегистрирован: Вт 14 дек, 2004 6:29 pm
Сообщения: 58
vadblm писал(а):
если всё совсем так плохо, можно и NDIS организовать. например Snort



Можно чуть подробнее об этом?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 13 ноя, 2007 3:55 pm 
Не в сети

Зарегистрирован: Вт 18 окт, 2005 10:16 am
Сообщения: 85
Откуда: kamchatka
RomanBSD писал(а):
vadblm писал(а):
если всё совсем так плохо, можно и NDIS организовать. например Snort



Можно чуть подробнее об этом?

network intrusion detection system. Система обрнаружения вторжений, анализирует все поключения к хосту, и по заданным сигнатурам пытается выявить среди них попытки взлома, в первую очередь обнаружается сканирование. На мой взгляд настроить ее непросто, и основная сложность в повышении точности работы, слишком уж много "ложных" тревог. Второе, есть пассивные и активные идс, разница в том что пассивные пытаются обнаружить атаку и записывают все это дело в журнал, по сути от взлома не спасает, в отличие от активных, которые помимо обнаружения, еще умеют принимать действия, например изменять правила фаера блокируя атакующего, например так делает portsentry. Хотя думаю для снорта наверняка есть плагины делающие его "активом" :) Так что лезим в /usr/port/security/snort и /usr/ports/security/portsentry


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 13 ноя, 2007 5:22 pm 
Не в сети

Зарегистрирован: Сб 26 июн, 2004 2:21 pm
Сообщения: 3567
Откуда: Рига
Bombardier писал(а):
Хотя думаю для снорта наверняка есть плагины делающие его "активом" :)

есть такое, не плагин, а переделка с использованием фаера, а не pcap, как в оригинальном снорте:

Port: snort_inline-2.4.5
Path: /usr/ports/security/snort_inline
Info: An inline IPS system based on snort using ipfw
Maint: nick@rogness.net
B-deps: libdnet-1.11_1 pcre-7.4
R-deps: libdnet-1.11_1 pcre-7.4
WWW: http://freebsd.rogness.net/snort_inline

http://snort-inline.sourceforge.net/

ЗЫ да и оригинальный снорт давно уже имеет функцию IPS (intrusion prevention system)


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 8 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Google [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика