Брутфорс обнаружение и блокировка

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Sailor
проходил мимо
Сообщения: 4
Зарегистрирован: 2011-12-05 23:35:38

Брутфорс обнаружение и блокировка

Непрочитанное сообщение Sailor » 2011-12-06 0:00:11

Доброго времени суток всем.
Ситуация следующая, есть игровой сервер за FreeBSD 8.2 в качестве шлюза. На игровой сервер обнаруживаются попытки брутфорса пароля игрового админа с разных айпи адресов. Силами игрового сервера это не блокировать. На FreeBSD эти попытки фиксируются как аномальный траффик для игрового аккаунта. Видно как большая отдача и маленький прием на игровой порт. На iftop выглядит примерно так:

Код: Выделить всё

11.22.33.44:http => 10.0.0.10:29999         7.01Kb   3.41Kb  0.99Kb
                 <=                         330Kb    890Kb   60.8Kb
Вот эти цифры 3,41кб и 890 кб (бывает и до 2 мегабит) показывают зловредное соединение которое желательно обрубить. Для рабочего коннекта цифры состовляют примерно 50 кб / 30 кб соответственно. Исходный порт нарушителя не обязательно http. Подскажите пожалуйста, чем лучше диагностировать такие коннекты на FreeBSD для последующего автоматического deny all адреса нарушителя?
Последний раз редактировалось f_andrey 2011-12-06 3:06:49, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
sadchok
сержант
Сообщения: 271
Зарегистрирован: 2011-10-13 10:40:54
Откуда: Алтайский край

Re: Брутфорс обнаружение и блокировка

Непрочитанное сообщение sadchok » 2011-12-06 5:28:30

DenyHosts
Fail2ban
BlockHosts
Blacklist
ну и тд.
The brain can not be found. Runs the software emulation

Sailor
проходил мимо
Сообщения: 4
Зарегистрирован: 2011-12-05 23:35:38

Re: Брутфорс обнаружение и блокировка

Непрочитанное сообщение Sailor » 2011-12-06 8:01:07

Всё бы хорошо, но эти программы парсят логи а для шлюза, такой коннект вполне обычный с единственной разницей что идет более высокий трафик.

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Брутфорс обнаружение и блокировка

Непрочитанное сообщение dikens3 » 2011-12-06 8:05:25

У нас вот у провайдера один IP-Адрес, а сетей у него много, и что мне тоже не играть? IP-Адрес не трогай.
Напиши простой скрипт, если исходящий трафик больше в течении X времени, руби коннект.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Sailor
проходил мимо
Сообщения: 4
Зарегистрирован: 2011-12-05 23:35:38

Re: Брутфорс обнаружение и блокировка

Непрочитанное сообщение Sailor » 2011-12-06 8:46:51

В том и вопрос, чем в скрипте смотреть трафик проходящий через интерфейс с сортировкой протокола или порта и разделением по айпи адресам :unknown:

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Брутфорс обнаружение и блокировка

Непрочитанное сообщение dikens3 » 2011-12-06 12:30:43

Не знаю, подойдёт или нет, я использовал ранее ipacctd для учёта всех видов траффика.
http://www.lissyara.su/articles/freebsd ... t/ipacctd/
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Sailor
проходил мимо
Сообщения: 4
Зарегистрирован: 2011-12-05 23:35:38

Re: Брутфорс обнаружение и блокировка

Непрочитанное сообщение Sailor » 2011-12-10 19:43:42

dikens3 писал(а):Не знаю, подойдёт или нет, я использовал ранее ipacctd для учёта всех видов траффика...
Спасибо :drinks: как раз то, что надо :good: