Правила Форума редакция от 22.06.2020 |
|
|
|
|
|
Опции темы | Опции просмотра | Language |
01.12.2011, 06:55 | #1 |
Новичок
Пол: Регистрация: 31.01.2008
Сообщений: 15
Репутация: 2
|
FreeBSD, выявление брутофорса
Доброго времени суток.
Ситуация. FreeBSD 8.2 как шлюз. На игровой сервер расположенный за шлюзом (redirect_port) отмечены попытки перебора пароля. Может кто подскажет, как автоматически сделать детект попытки брута на FreeBSD для дальнейшего "ipfw deny all... from .." . Атаку видно в iftop. К примеру: обычный рабочий коннект - down ~50Kbits, up ~30 Kbits. При атаке - down ~5Kbits, up от 50Kbits и выше. tcpdump на внутреннем интерфейсе, рабочий коннект: Код:
03:18:05.025845 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 63 03:18:05.027998 IP 10.128.1.10.28960 > 178.76.226.216.28960: UDP, length 63 03:18:05.039943 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 62 03:18:05.055756 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 60 03:18:05.073563 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 60 03:18:05.078333 IP 10.128.1.10.28960 > 178.76.226.216.28960: UDP, length 50 03:18:05.089903 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 55 03:18:05.105719 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 60 03:18:05.121663 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 61 03:18:05.128094 IP 10.128.1.10.28960 > 178.76.226.216.28960: UDP, length 76 03:18:05.137693 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 63 03:18:05.153595 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 64 03:18:05.169507 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 65 03:18:05.176901 IP 10.128.1.10.28960 > 178.76.226.216.28960: UDP, length 90 03:18:05.181889 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 66 03:18:05.203505 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 65 03:18:05.215876 IP 178.76.226.216.28960 > 10.128.1.10.28960: UDP, length 68 03:18:05.225943 IP 10.128.1.10.28960 > 178.76.226.216.28960: UDP, length 88 Код:
03:14:35.311412 IP 10.128.1.10.28960 > 173.192.176.67-static.reverse.softlayer.com.27660: UDP, length 633 03:14:35.312257 IP 173.192.176.67-static.reverse.softlayer.com.27660 > 10.128.1.10.28960: UDP, length 15 03:14:35.316054 IP 173.192.176.67-static.reverse.softlayer.com.27660 > 10.128.1.10.28960: UDP, length 15 03:14:35.316992 IP 10.128.1.10.28960 > 173.192.176.67-static.reverse.softlayer.com.27660: UDP, length 633 03:14:35.317243 IP 10.128.1.10.28960 > 173.192.176.67-static.reverse.softlayer.com.27660: UDP, length 633 03:14:35.328819 IP 173.192.176.67-static.reverse.softlayer.com.27660 > 10.128.1.10.28960: UDP, length 15 03:14:35.335301 IP 10.128.1.10.28960 > 173.192.176.67-static.reverse.softlayer.com.27660: UDP, length 633 03:14:35.337976 IP 173.192.176.67-static.reverse.softlayer.com.27660 > 10.128.1.10.28960: UDP, length 15 03:14:35.341170 IP 10.128.1.10.28960 > 173.192.176.67-static.reverse.softlayer.com.27660: UDP, length 633 03:14:35.342294 IP 173.192.176.67-static.reverse.softlayer.com.27660 > 10.128.1.10.28960: UDP, length 15 03:14:35.346043 IP 173.192.176.67-static.reverse.softlayer.com.27660 > 10.128.1.10.28960: UDP, length 15 03:14:35.346185 IP 173.192.176.67-static.reverse.softlayer.com.27660 > 10.128.1.10.28960: UDP, length 15 03:14:35.346327 IP 173.192.176.67-static.reverse.softlayer.com.27660 > 10.128.1.10.28960: UDP, length 15 03:14:35.351896 IP 10.128.1.10.28960 > 173.192.176.67-static.reverse.softlayer.com.27660: UDP, length 633 03:14:35.352138 IP 10.128.1.10.28960 > 173.192.176.67-static.reverse.softlayer.com.27660: UDP, length 633 03:14:35.352389 IP 10.128.1.10.28960 > 173.192.176.67-static.reverse.softlayer.com.27660: UDP, length 633 03:14:35.352624 IP 10.128.1.10.28960 > 173.192.176.67-static.reverse.softlayer.com.27660: UDP, length 633 03:14:35.355396 IP 173.192.176.67-static.reverse.softlayer.com.27660 > 10.128.1.10.28960: UDP, length 15 |
Реклама: | Рекомендуем компьютерную фирму КНС rog ноутбук - Подарок каждому покупателю! | Спектакль Эйнштейн и Маргарита | решетка алюм. наружная рнв ал. 300х650 | барбекю яйцо купить | вебтухи в сенлере |
11.12.2011, 01:12 | #2 |
Новичок
Пол: Регистрация: 31.01.2008
Сообщений: 15
Репутация: 2
|
Re: FreeBSD, выявление брутофорса
Вопрос решился с помощью демона ipacctd.
|
11.09.2015, 13:59 | #3 |
Новичок
Пол: Регистрация: 25.11.2007
Сообщений: 9
Репутация: 1
|
Re: FreeBSD, выявление брутофорса
Как Вы смогли решить проблему с помощью сервиса ipacctd? Просто интересно.
Обычно такая проблема решается через fail2ban. |
29.09.2015, 18:01 | #4 |
Новичок
Пол: Регистрация: 31.01.2008
Сообщений: 15
Репутация: 2
|
Re: FreeBSD, выявление брутофорса
Ох как давно это было то уже))
Насколько смог вспомнить, примером была статья от Лисяры http://www.lissyara.su/articles/free...count/ipacctd/ Повторюсь, детектировать нада было на шлюзе, а брутфорс шел на внутренний сервер. С учетом загрузки каналов была необходимость о недопуска такого траффика внутрь сети. Считался аномальный траффик и при обнаружении такого IP атакующего банился. Может и не самое изящное решение, но работает до сих пор |
Сказали спасибо: |
18.12.2015, 10:22 | #5 |
Неактивный пользователь
Пол: Регистрация: 17.12.2015
Сообщений: 5
Репутация: 0
|
Re: FreeBSD, выявление брутофорса
|
14.01.2016, 10:47 | #6 |
Неактивный пользователь
Пол: Регистрация: 14.01.2016
Сообщений: 7
Репутация: 0
|
Re: FreeBSD, выявление брутофорса
Да ... для этих целей fail2ban самое то
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Выявление потребности в определенном товаре в интернет магазине | dimteo | Движки форумов и сайтов | 1 | 20.09.2010 22:20 |
CS + FreeBSD | djskuns | UNIX, Linux, MacOs для PC и другие ОС | 10 | 30.05.2008 12:48 |
FreeBSD 6.2 | xliver | UNIX, Linux, MacOs для PC и другие ОС | 4 | 27.06.2007 17:13 |
1c 8.0 под FreeBSD? | hall | UNIX, Linux, MacOs для PC и другие ОС | 3 | 18.04.2007 16:50 |
|
|