Регистрация

Здравствуй, друг!
Еще не зарегистрировался?
Регистрация.
Не пришло письмо
с активацией?
Запросить активацию.
 
FreeBSD, выявление брутофорса - Компьютерный форум NoWa.cc
Компьютерный форум NoWa.cc
Правила Форума
редакция от 29.01.2013
Портал .::2Baksa.Net::. Фильмы HD Форум вебкам моделей Трекер BRODIM.COM
Вернуться   Компьютерный форум NoWa.cc > Операционные системы > UNIX, Linux, MacOs для PC и другие ОС > Вопросы и проблемы

Вопросы и проблемы Решаем всем миром

Уважаемые пользователи nowa.cc и 2baksa.net. У нас сложилось тяжелое финансовое положение. Мы работаем для вас вот уже более 10 лет
и теперь вынуждены просить о помощи. Окажите посильную поддержку проектам. Мы очень надеемся на вас. Реквизиты для переводов ниже.
Webmoney Webmoney Z826074280762 Webmoney R087294265364 Webmoney U051530505194 Webmoney E804621616710
PayPal E-mail для связи / to Contact E-mail для связи / to Contact : E-mail для связи / to Contact
Кошелек для вашей помощи Yandex 410013204813773
Yandex Спасибо за поддержку!

Российский интернет-шлюз: контроль трафика, DLP, антивирус, fail2ban, прокси-сервер, шифрование данных, https-фильтрация. Сертификат ФСТЭК

загрузка...
Ответ
 
Опции темы Language
Старый 01.12.2011, 06:55   #1
Новичок
 
Пол:Женский
Регистрация: 31.01.2008
Сообщений: 16
Репутация: 2
По умолчанию FreeBSD, выявление брутофорса

Доброго времени суток.
Ситуация. FreeBSD 8.2 как шлюз. На игровой сервер расположенный за шлюзом (redirect_port) отмечены попытки перебора пароля. Может кто подскажет, как автоматически сделать детект попытки брута на FreeBSD для дальнейшего "ipfw deny all... from .." . Атаку видно в iftop. К примеру: обычный рабочий коннект - down ~50Kbits, up ~30 Kbits. При атаке - down ~5Kbits, up от 50Kbits и выше.

tcpdump на внутреннем интерфейсе, рабочий коннект:
Код:
03:18:05.025845 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 63
03:18:05.027998 IP 10.128.1.10.28960 > 178.76.226.216.28960: UDP, length 63
03:18:05.039943 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 62
03:18:05.055756 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 60
03:18:05.073563 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 60
03:18:05.078333 IP 10.128.1.10.28960 > 178.76.226.216.28960: UDP, length 50
03:18:05.089903 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 55
03:18:05.105719 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 60
03:18:05.121663 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 61
03:18:05.128094 IP 10.128.1.10.28960 > 178.76.226.216.28960: UDP, length 76
03:18:05.137693 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 63
03:18:05.153595 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 64
03:18:05.169507 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 65
03:18:05.176901 IP 10.128.1.10.28960 > 178.76.226.216.28960: UDP, length 90
03:18:05.181889 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 66
03:18:05.203505 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 65
03:18:05.215876 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 68
03:18:05.225943 IP 10.128.1.10.28960 > 178.76.226.216.28960: UDP, length 88
tcpdump при бруте:
Код:
03:14:35.311412 IP 10.128.1.10.28960 > 173.192.176.67-static.reverse.softlayer.com.27660: UDP, length 633
03:14:35.312257 IP 173.192.176.67-static.reverse.softlayer.com.27660 > 10.128.1.10.28960: UDP, length 15
03:14:35.316054 IP 173.192.176.67-static.reverse.softlayer.com.27660 > 10.128.1.10.28960: UDP, length 15
03:14:35.316992 IP 10.128.1.10.28960 > 173.192.176.67-static.reverse.softlayer.com.27660: UDP, length 633
03:14:35.317243 IP 10.128.1.10.28960 > 173.192.176.67-static.reverse.softlayer.com.27660: UDP, length 633
03:14:35.328819 IP 173.192.176.67-static.reverse.softlayer.com.27660 > 10.128.1.10.28960: UDP, length 15
03:14:35.335301 IP 10.128.1.10.28960 > 173.192.176.67-static.reverse.softlayer.com.27660: UDP, length 633
03:14:35.337976 IP 173.192.176.67-static.reverse.softlayer.com.27660 > 10.128.1.10.28960: UDP, length 15
03:14:35.341170 IP 10.128.1.10.28960 > 173.192.176.67-static.reverse.softlayer.com.27660: UDP, length 633
03:14:35.342294 IP 173.192.176.67-static.reverse.softlayer.com.27660 > 10.128.1.10.28960: UDP, length 15
03:14:35.346043 IP 173.192.176.67-static.reverse.softlayer.com.27660 > 10.128.1.10.28960: UDP, length 15
03:14:35.346185 IP 173.192.176.67-static.reverse.softlayer.com.27660 > 10.128.1.10.28960: UDP, length 15
03:14:35.346327 IP 173.192.176.67-static.reverse.softlayer.com.27660 > 10.128.1.10.28960: UDP, length 15
03:14:35.351896 IP 10.128.1.10.28960 > 173.192.176.67-static.reverse.softlayer.com.27660: UDP, length 633
03:14:35.352138 IP 10.128.1.10.28960 > 173.192.176.67-static.reverse.softlayer.com.27660: UDP, length 633
03:14:35.352389 IP 10.128.1.10.28960 > 173.192.176.67-static.reverse.softlayer.com.27660: UDP, length 633
03:14:35.352624 IP 10.128.1.10.28960 > 173.192.176.67-static.reverse.softlayer.com.27660: UDP, length 633
03:14:35.355396 IP 173.192.176.67-static.reverse.softlayer.com.27660 > 10.128.1.10.28960: UDP, length 15
sail0r вне форума
 
Ответить с цитированием Вверх
Надежный китайский посредник Taobao.com


Реклама: Подставка под обувь Мебелик П 1цветные линзы biomedics colors premiumКухни в стиле Модерн Gicinque купитьgel-rocket 6программа обучения по специальности проходчик скачать


Старый 11.12.2011, 01:12   #2
sail0r
Новичок
 
Пол:Женский
Регистрация: 31.01.2008
Сообщений: 16
Репутация: 2
По умолчанию Re: FreeBSD, выявление брутофорса

Вопрос решился с помощью демона ipacctd.
sail0r вне форума
 
Ответить с цитированием Вверх
Старый 11.09.2015, 13:59   #3
Paulis76
Новичок
 
Пол:Мужской
Регистрация: 25.11.2007
Сообщений: 9
Репутация: 1
По умолчанию Re: FreeBSD, выявление брутофорса

Как Вы смогли решить проблему с помощью сервиса ipacctd? Просто интересно.
Обычно такая проблема решается через fail2ban.
Paulis76 вне форума
 
Ответить с цитированием Вверх
Старый 29.09.2015, 18:01   #4
sail0r
Новичок
 
Пол:Женский
Регистрация: 31.01.2008
Сообщений: 16
Репутация: 2
По умолчанию Re: FreeBSD, выявление брутофорса

Ох как давно это было то уже))
Насколько смог вспомнить, примером была статья от Лисяры
[Только зарегистрированные пользователи могут видеть ссылки. Зарегистрироваться...]

Повторюсь, детектировать нада было на шлюзе, а брутфорс шел на внутренний сервер. С учетом загрузки каналов была необходимость о недопуска такого траффика внутрь сети. Считался аномальный траффик и при обнаружении такого IP атакующего банился. Может и не самое изящное решение, но работает до сих пор
sail0r вне форума
 
Ответить с цитированием Вверх
Старый 18.12.2015, 10:22   #5
amuseDi
Новичок
 
Пол:Мужской
Регистрация: 17.12.2015
Сообщений: 5
Репутация: 0
Question Re: FreeBSD, выявление брутофорса

Цитата:
Сообщение от Paulis76 Посмотреть сообщение
Как Вы смогли решить проблему с помощью сервиса ipacctd? Просто интересно.
Обычно такая проблема решается через fail2ban.

а как Вы аналогичное решили с помощью fail2ban?
amuseDi вне форума
 
Ответить с цитированием Вверх
Старый 14.01.2016, 10:47   #6
RebZya
Новичок
 
Пол:Мужской
Регистрация: 14.01.2016
Сообщений: 7
Репутация: 0
По умолчанию Re: FreeBSD, выявление брутофорса

Да ... для этих целей fail2ban самое то
RebZya вне форума
 
Ответить с цитированием Вверх
Ответ
 Уважаемые пользователи портала 2BakSa.NeT и форума NoWa.cc !

  Рады Вам сообщить, что у нас открылся Torrent трекер >> BRODIM.COM

  Приглашаем вас принять участие в обмене полезной информацией,

  и ждем от вас поддержки в создании новых раздач.

Опции темы

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Выявление потребности в определенном товаре в интернет магазине dimteo Движки форумов и сайтов 1 20.09.2010 22:20
CS + FreeBSD djskuns UNIX, Linux, MacOs для PC и другие ОС 10 30.05.2008 12:48
FreeBSD 6.2 xliver UNIX, Linux, MacOs для PC и другие ОС 4 27.06.2007 17:13
1c 8.0 под FreeBSD? hall UNIX, Linux, MacOs для PC и другие ОС 3 18.04.2007 16:50

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 04:43. Часовой пояс GMT +3.


Rambler's Top100
Copyright © 2004 - 2016 2BakSa.Net

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2017, vBulletin Solutions, Inc. Перевод: zCarot
Время генерации страницы 0.72472 секунды с 12 запросами