Показать сообщение отдельно
Старый 01.12.2011, 06:55   #1
Новичок
 
Пол:Женский
Регистрация: 31.01.2008
Сообщений: 16
Репутация: 2
По умолчанию FreeBSD, выявление брутофорса

Доброго времени суток.
Ситуация. FreeBSD 8.2 как шлюз. На игровой сервер расположенный за шлюзом (redirect_port) отмечены попытки перебора пароля. Может кто подскажет, как автоматически сделать детект попытки брута на FreeBSD для дальнейшего "ipfw deny all... from .." . Атаку видно в iftop. К примеру: обычный рабочий коннект - down ~50Kbits, up ~30 Kbits. При атаке - down ~5Kbits, up от 50Kbits и выше.

tcpdump на внутреннем интерфейсе, рабочий коннект:
Код:
03:18:05.025845 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 63
03:18:05.027998 IP 10.128.1.10.28960 > 178.76.226.216.28960: UDP, length 63
03:18:05.039943 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 62
03:18:05.055756 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 60
03:18:05.073563 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 60
03:18:05.078333 IP 10.128.1.10.28960 > 178.76.226.216.28960: UDP, length 50
03:18:05.089903 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 55
03:18:05.105719 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 60
03:18:05.121663 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 61
03:18:05.128094 IP 10.128.1.10.28960 > 178.76.226.216.28960: UDP, length 76
03:18:05.137693 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 63
03:18:05.153595 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 64
03:18:05.169507 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 65
03:18:05.176901 IP 10.128.1.10.28960 > 178.76.226.216.28960: UDP, length 90
03:18:05.181889 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 66
03:18:05.203505 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 65
03:18:05.215876 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 68
03:18:05.225943 IP 10.128.1.10.28960 > 178.76.226.216.28960: UDP, length 88
tcpdump при бруте:
Код:
03:14:35.311412 IP 10.128.1.10.28960 > 173.192.176.67-static.reverse.softlayer.com.27660: UDP, length 633
03:14:35.312257 IP 173.192.176.67-static.reverse.softlayer.com.27660 > 10.128.1.10.28960: UDP, length 15
03:14:35.316054 IP 173.192.176.67-static.reverse.softlayer.com.27660 > 10.128.1.10.28960: UDP, length 15
03:14:35.316992 IP 10.128.1.10.28960 > 173.192.176.67-static.reverse.softlayer.com.27660: UDP, length 633
03:14:35.317243 IP 10.128.1.10.28960 > 173.192.176.67-static.reverse.softlayer.com.27660: UDP, length 633
03:14:35.328819 IP 173.192.176.67-static.reverse.softlayer.com.27660 > 10.128.1.10.28960: UDP, length 15
03:14:35.335301 IP 10.128.1.10.28960 > 173.192.176.67-static.reverse.softlayer.com.27660: UDP, length 633
03:14:35.337976 IP 173.192.176.67-static.reverse.softlayer.com.27660 > 10.128.1.10.28960: UDP, length 15
03:14:35.341170 IP 10.128.1.10.28960 > 173.192.176.67-static.reverse.softlayer.com.27660: UDP, length 633
03:14:35.342294 IP 173.192.176.67-static.reverse.softlayer.com.27660 > 10.128.1.10.28960: UDP, length 15
03:14:35.346043 IP 173.192.176.67-static.reverse.softlayer.com.27660 > 10.128.1.10.28960: UDP, length 15
03:14:35.346185 IP 173.192.176.67-static.reverse.softlayer.com.27660 > 10.128.1.10.28960: UDP, length 15
03:14:35.346327 IP 173.192.176.67-static.reverse.softlayer.com.27660 > 10.128.1.10.28960: UDP, length 15
03:14:35.351896 IP 10.128.1.10.28960 > 173.192.176.67-static.reverse.softlayer.com.27660: UDP, length 633
03:14:35.352138 IP 10.128.1.10.28960 > 173.192.176.67-static.reverse.softlayer.com.27660: UDP, length 633
03:14:35.352389 IP 10.128.1.10.28960 > 173.192.176.67-static.reverse.softlayer.com.27660: UDP, length 633
03:14:35.352624 IP 10.128.1.10.28960 > 173.192.176.67-static.reverse.softlayer.com.27660: UDP, length 633
03:14:35.355396 IP 173.192.176.67-static.reverse.softlayer.com.27660 > 10.128.1.10.28960: UDP, length 15
sail0r вне форума
 
Ответить с цитированием Вверх
 
Время генерации страницы 0.08062 секунды с 9 запросами