Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок
Модераторы: vadim64, terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
Sailor
- проходил мимо
- Сообщения: 4
- Зарегистрирован: 2011-12-05 23:35:38
Непрочитанное сообщение
Sailor » 2011-12-06 0:00:11
Доброго времени суток всем.
Ситуация следующая, есть игровой сервер за FreeBSD 8.2 в качестве шлюза. На игровой сервер обнаруживаются попытки брутфорса пароля игрового админа с разных айпи адресов. Силами игрового сервера это не блокировать. На FreeBSD эти попытки фиксируются как аномальный траффик для игрового аккаунта. Видно как большая отдача и маленький прием на игровой порт. На iftop выглядит примерно так:
Код: Выделить всё
11.22.33.44:http => 10.0.0.10:29999 7.01Kb 3.41Kb 0.99Kb
<= 330Kb 890Kb 60.8Kb
Вот эти цифры 3,41кб и 890 кб (бывает и до 2 мегабит) показывают зловредное соединение которое желательно обрубить. Для рабочего коннекта цифры состовляют примерно 50 кб / 30 кб соответственно. Исходный порт нарушителя не обязательно http. Подскажите пожалуйста, чем лучше диагностировать такие коннекты на FreeBSD для последующего автоматического deny all адреса нарушителя?
Последний раз редактировалось
f_andrey 2011-12-06 3:06:49, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения.
Sailor
-
Хостинг HostFood.ru
-
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей:
https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.:
https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах:
https://www.host-food.ru/domains/
-
sadchok
- сержант
- Сообщения: 271
- Зарегистрирован: 2011-10-13 10:40:54
- Откуда: Алтайский край
Непрочитанное сообщение
sadchok » 2011-12-06 5:28:30
DenyHosts
Fail2ban
BlockHosts
Blacklist
ну и тд.
The brain can not be found. Runs the software emulation
sadchok
-
Sailor
- проходил мимо
- Сообщения: 4
- Зарегистрирован: 2011-12-05 23:35:38
Непрочитанное сообщение
Sailor » 2011-12-06 8:01:07
Всё бы хорошо, но эти программы парсят логи а для шлюза, такой коннект вполне обычный с единственной разницей что идет более высокий трафик.
Sailor
-
dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
-
Контактная информация:
Непрочитанное сообщение
dikens3 » 2011-12-06 8:05:25
У нас вот у провайдера один IP-Адрес, а сетей у него много, и что мне тоже не играть? IP-Адрес не трогай.
Напиши простой скрипт, если исходящий трафик больше в течении X времени, руби коннект.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
dikens3
-
Sailor
- проходил мимо
- Сообщения: 4
- Зарегистрирован: 2011-12-05 23:35:38
Непрочитанное сообщение
Sailor » 2011-12-06 8:46:51
В том и вопрос, чем в скрипте смотреть трафик проходящий через интерфейс с сортировкой протокола или порта и разделением по айпи адресам
Sailor
-
Sailor
- проходил мимо
- Сообщения: 4
- Зарегистрирован: 2011-12-05 23:35:38
Непрочитанное сообщение
Sailor » 2011-12-10 19:43:42
dikens3 писал(а):Не знаю, подойдёт или нет, я использовал ранее ipacctd для учёта всех видов траффика...
Спасибо
как раз то, что надо
Sailor
