Компьютерный форум NoWa.cc Здесь может быть Ваша реклама
Правила Форума
редакция от 22.06.2020
Портал .::2BakSa.WS::.
Вернуться   Компьютерный форум NoWa.cc > Операционные системы > UNIX, Linux, MacOs для PC и другие ОС > Вопросы и проблемы

Уважаемые пользователи nowa.cc и 2baksa.ws. У нас сложилось тяжёлое финансовое положение. Мы работаем для вас вот уже более 15 лет и сейчас вынуждены просить о помощи. Окажите посильную поддержку проектам. Мы очень надеемся на вас. Реквизиты для переводов ниже.
Webmoney Webmoney WMZ: 826074280762 Webmoney WME: 804621616710
PayPal PayPal_Email E-mail для связи по вопросу помощи
Кошелёк для вашей помощи YooMoney 4100117770549562
YooMoney Спасибо за поддержку!
Ответ
 
Опции темы Опции просмотра Language
Старый 01.12.2011, 06:55   #1
Новичок
 
Пол:Женский
Регистрация: 31.01.2008
Сообщений: 15
Репутация: 2
По умолчанию FreeBSD, выявление брутофорса

Доброго времени суток.
Ситуация. FreeBSD 8.2 как шлюз. На игровой сервер расположенный за шлюзом (redirect_port) отмечены попытки перебора пароля. Может кто подскажет, как автоматически сделать детект попытки брута на FreeBSD для дальнейшего "ipfw deny all... from .." . Атаку видно в iftop. К примеру: обычный рабочий коннект - down ~50Kbits, up ~30 Kbits. При атаке - down ~5Kbits, up от 50Kbits и выше.

tcpdump на внутреннем интерфейсе, рабочий коннект:
Код:
03:18:05.025845 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 63
03:18:05.027998 IP 10.128.1.10.28960 > 178.76.226.216.28960: UDP, length 63
03:18:05.039943 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 62
03:18:05.055756 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 60
03:18:05.073563 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 60
03:18:05.078333 IP 10.128.1.10.28960 > 178.76.226.216.28960: UDP, length 50
03:18:05.089903 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 55
03:18:05.105719 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 60
03:18:05.121663 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 61
03:18:05.128094 IP 10.128.1.10.28960 > 178.76.226.216.28960: UDP, length 76
03:18:05.137693 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 63
03:18:05.153595 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 64
03:18:05.169507 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 65
03:18:05.176901 IP 10.128.1.10.28960 > 178.76.226.216.28960: UDP, length 90
03:18:05.181889 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 66
03:18:05.203505 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 65
03:18:05.215876 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 68
03:18:05.225943 IP 10.128.1.10.28960 > 178.76.226.216.28960: UDP, length 88
tcpdump при бруте:
Код:
03:14:35.311412 IP 10.128.1.10.28960 > 173.192.176.67-static.reverse.softlayer.com.27660: UDP, length 633
03:14:35.312257 IP 173.192.176.67-static.reverse.softlayer.com.27660 > 10.128.1.10.28960: UDP, length 15
03:14:35.316054 IP 173.192.176.67-static.reverse.softlayer.com.27660 > 10.128.1.10.28960: UDP, length 15
03:14:35.316992 IP 10.128.1.10.28960 > 173.192.176.67-static.reverse.softlayer.com.27660: UDP, length 633
03:14:35.317243 IP 10.128.1.10.28960 > 173.192.176.67-static.reverse.softlayer.com.27660: UDP, length 633
03:14:35.328819 IP 173.192.176.67-static.reverse.softlayer.com.27660 > 10.128.1.10.28960: UDP, length 15
03:14:35.335301 IP 10.128.1.10.28960 > 173.192.176.67-static.reverse.softlayer.com.27660: UDP, length 633
03:14:35.337976 IP 173.192.176.67-static.reverse.softlayer.com.27660 > 10.128.1.10.28960: UDP, length 15
03:14:35.341170 IP 10.128.1.10.28960 > 173.192.176.67-static.reverse.softlayer.com.27660: UDP, length 633
03:14:35.342294 IP 173.192.176.67-static.reverse.softlayer.com.27660 > 10.128.1.10.28960: UDP, length 15
03:14:35.346043 IP 173.192.176.67-static.reverse.softlayer.com.27660 > 10.128.1.10.28960: UDP, length 15
03:14:35.346185 IP 173.192.176.67-static.reverse.softlayer.com.27660 > 10.128.1.10.28960: UDP, length 15
03:14:35.346327 IP 173.192.176.67-static.reverse.softlayer.com.27660 > 10.128.1.10.28960: UDP, length 15
03:14:35.351896 IP 10.128.1.10.28960 > 173.192.176.67-static.reverse.softlayer.com.27660: UDP, length 633
03:14:35.352138 IP 10.128.1.10.28960 > 173.192.176.67-static.reverse.softlayer.com.27660: UDP, length 633
03:14:35.352389 IP 10.128.1.10.28960 > 173.192.176.67-static.reverse.softlayer.com.27660: UDP, length 633
03:14:35.352624 IP 10.128.1.10.28960 > 173.192.176.67-static.reverse.softlayer.com.27660: UDP, length 633
03:14:35.355396 IP 173.192.176.67-static.reverse.softlayer.com.27660 > 10.128.1.10.28960: UDP, length 15
sail0r вне форума
 
Ответить с цитированием Вверх
Здесь может быть Ваша реклама
Здесь может быть Ваша реклама


Реклама: билеты в цирккупить стол кухонный недорого в спбesbe 11601100Кровати с мягкой спинкоймюзикл ничего не бойся я с тобой купить билеты на 03.01.2024


Старый 11.12.2011, 01:12   #2
sail0r
Новичок
 
Пол:Женский
Регистрация: 31.01.2008
Сообщений: 15
Репутация: 2
По умолчанию Re: FreeBSD, выявление брутофорса

Вопрос решился с помощью демона ipacctd.
sail0r вне форума
 
Ответить с цитированием Вверх
Старый 11.09.2015, 13:59   #3
Paulis76
Новичок
 
Пол:Мужской
Регистрация: 25.11.2007
Сообщений: 9
Репутация: 1
По умолчанию Re: FreeBSD, выявление брутофорса

Как Вы смогли решить проблему с помощью сервиса ipacctd? Просто интересно.
Обычно такая проблема решается через fail2ban.
Paulis76 вне форума
 
Ответить с цитированием Вверх
Старый 29.09.2015, 18:01   #4
sail0r
Новичок
 
Пол:Женский
Регистрация: 31.01.2008
Сообщений: 15
Репутация: 2
По умолчанию Re: FreeBSD, выявление брутофорса

Ох как давно это было то уже))
Насколько смог вспомнить, примером была статья от Лисяры
http://www.lissyara.su/articles/free...count/ipacctd/

Повторюсь, детектировать нада было на шлюзе, а брутфорс шел на внутренний сервер. С учетом загрузки каналов была необходимость о недопуска такого траффика внутрь сети. Считался аномальный траффик и при обнаружении такого IP атакующего банился. Может и не самое изящное решение, но работает до сих пор
sail0r вне форума
 
Ответить с цитированием Вверх
Старый 18.12.2015, 10:22   #5
amuseDi
Неактивный пользователь
 
Пол:Мужской
Регистрация: 17.12.2015
Сообщений: 5
Репутация: 0
Question Re: FreeBSD, выявление брутофорса

Цитата:
Сообщение от Paulis76 Посмотреть сообщение
Как Вы смогли решить проблему с помощью сервиса ipacctd? Просто интересно.
Обычно такая проблема решается через fail2ban.

а как Вы аналогичное решили с помощью fail2ban?
amuseDi вне форума
 
Ответить с цитированием Вверх
Старый 14.01.2016, 10:47   #6
RebZya
Неактивный пользователь
 
Пол:Мужской
Регистрация: 14.01.2016
Сообщений: 7
Репутация: 0
По умолчанию Re: FreeBSD, выявление брутофорса

Да ... для этих целей fail2ban самое то
RebZya вне форума
 
Ответить с цитированием Вверх
Ответ

Опции темы
Опции просмотра

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Выявление потребности в определенном товаре в интернет магазине dimteo Движки форумов и сайтов 1 20.09.2010 22:20
CS + FreeBSD djskuns UNIX, Linux, MacOs для PC и другие ОС 10 30.05.2008 12:48
FreeBSD 6.2 xliver UNIX, Linux, MacOs для PC и другие ОС 4 27.06.2007 17:13
1c 8.0 под FreeBSD? hall UNIX, Linux, MacOs для PC и другие ОС 3 18.04.2007 16:50

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 07:48. Часовой пояс GMT +3.


Copyright ©2004 - 2024 2BakSa.WS

Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2024, vBulletin Solutions, Inc. Перевод: zCarot
Время генерации страницы 0.16652 секунды с 13 запросами