Запретить сканирование сети

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
RusBiT
лейтенант
Сообщения: 635
Зарегистрирован: 2007-08-03 11:43:53
Откуда: Красноярск
Контактная информация:

Запретить сканирование сети

Непрочитанное сообщение RusBiT » 2007-09-15 14:00:34

У меня такая проблема. В сети есть вирус у определенного человека, он сканирует порты, а у моего провайдера стоит ограничение на определенное кол-во одновременно открытых портов, и если этот человек врубает свой комп, то срабатывает блокировка у провайдера на интернет. Если я например блокирую ip адрес этого пользователя на шлюзе, то всё нормально (он не доходит то инета)

Не подскажете тулзу которая может автоматически находит сканирование айпи адресов и портов, и автоматически банит данный ip, и например выводит сообщение - вы забанены
Чем больше я познаю FreeBSD, тем больше я считаю себя ламером :)

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35069
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Запретить сканирование сети

Непрочитанное сообщение Alex Keda » 2007-09-15 18:03:17

ну, чтобы прям сообщение - аже не знаю, а вот насчёт сканирования - поможет что-то типа snort/portsentry, - но уж как ты будешь их привязывать к блокировке - не знаю...
Убей их всех! Бог потом рассортирует...

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Запретить сканирование сети

Непрочитанное сообщение dikens3 » 2007-09-15 20:30:20

На ipfw можно сделать ограничение на количество SYN пакетов, и делов то. (Для этого IP)

P.S. А что мешает убрать вирус? Зачем бороться со следствием?
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
BigBrother
сержант
Сообщения: 150
Зарегистрирован: 2007-07-27 17:05:55
Откуда: Украина
Контактная информация:

Re: Запретить сканирование сети

Непрочитанное сообщение BigBrother » 2007-09-15 21:13:02

как вариант, есть snort_inline который в отличии от простого snort`a, умеет работать c iptables/ipfw. Тоесть в случае чего, дает команду фаерволлу заблокировать... Но, разве не лучше будет убрать вирус на проблемной машине, как уже было сказано/предложено выше?

Аватара пользователя
RusBiT
лейтенант
Сообщения: 635
Зарегистрирован: 2007-08-03 11:43:53
Откуда: Красноярск
Контактная информация:

Re: Запретить сканирование сети

Непрочитанное сообщение RusBiT » 2007-09-16 9:34:48

BigBrother писал(а):как вариант, есть snort_inline который в отличии от простого snort`a, умеет работать c iptables/ipfw. Тоесть в случае чего, дает команду фаерволлу заблокировать... Но, разве не лучше будет убрать вирус на проблемной машине, как уже было сказано/предложено выше?
В сети около 250 компьютеров, убрать конечно можно (так и сделали), но снова же может такое повториться, заблокировать интернет всей сети :)
А если просто файрволом блокировать - то пользователи явно не поймут из за чего такое произошло...
Чем больше я познаю FreeBSD, тем больше я считаю себя ламером :)

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35069
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Запретить сканирование сети

Непрочитанное сообщение Alex Keda » 2007-09-16 9:52:08

редирект на локальный сайт, где будет написана прична
Убей их всех! Бог потом рассортирует...

Аватара пользователя
RusBiT
лейтенант
Сообщения: 635
Зарегистрирован: 2007-08-03 11:43:53
Откуда: Красноярск
Контактная информация:

Re: Запретить сканирование сети

Непрочитанное сообщение RusBiT » 2007-09-16 9:58:47

lissyara писал(а):редирект на локальный сайт, где будет написана прична
Тож выход. Только вот пользователь к примеру, убрал у себя вирус, или прекратил сканирование сети, а разбанить себя не сможет, придется звонить в контору.
Хочется полной оптимизации
Чем больше я познаю FreeBSD, тем больше я считаю себя ламером :)

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35069
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Запретить сканирование сети

Непрочитанное сообщение Alex Keda » 2007-09-16 10:06:07

раз в сутки кроном убирать правила...
Убей их всех! Бог потом рассортирует...

Аватара пользователя
RusBiT
лейтенант
Сообщения: 635
Зарегистрирован: 2007-08-03 11:43:53
Откуда: Красноярск
Контактная информация:

Re: Запретить сканирование сети

Непрочитанное сообщение RusBiT » 2007-09-16 10:18:24

lissyara писал(а):раз в сутки кроном убирать правила...
Не напишите мануал ? :)
Чем больше я познаю FreeBSD, тем больше я считаю себя ламером :)

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35069
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Запретить сканирование сети

Непрочитанное сообщение Alex Keda » 2007-09-16 10:24:48

нет :)
некогда :(
Убей их всех! Бог потом рассортирует...

Аватара пользователя
RusBiT
лейтенант
Сообщения: 635
Зарегистрирован: 2007-08-03 11:43:53
Откуда: Красноярск
Контактная информация:

Re: Запретить сканирование сети

Непрочитанное сообщение RusBiT » 2007-09-16 10:36:45

lissyara писал(а):нет :)
некогда :(
Тогда хотелось бы увидеть эти правила на файрвол которые блокируют, а потом перекидывают на http урл :)
Чем больше я познаю FreeBSD, тем больше я считаю себя ламером :)

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35069
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Запретить сканирование сети

Непрочитанное сообщение Alex Keda » 2007-09-16 10:38:09

Код: Выделить всё

man ipfw
секция fwd
и, кстати, это тут где-то обсуждалось
Убей их всех! Бог потом рассортирует...

Аватара пользователя
BigBrother
сержант
Сообщения: 150
Зарегистрирован: 2007-07-27 17:05:55
Откуда: Украина
Контактная информация:

Re: Запретить сканирование сети

Непрочитанное сообщение BigBrother » 2007-09-16 12:21:57

RusBiT писал(а):А если просто файрволом блокировать - то пользователи явно не поймут из за чего такое произошло...
А вы на главной странице сайта этой конторы, зделайте не большую сноску типа

Код: Выделить всё

"если вдруг у вас перестали работать все сервисы локальной сети (файл. сервер, фтп. сервер, игровой сервер и т.д) значит ваш комп заражен или отпраляет злонамерные пакеты и вы были заблокированы до выясненния объстоятельств. Если вы уверены что вы "вылечили" свой комп от заразы, звоните 999-999-999." 
После того как его разбанят и есть он все же НЕ вылечился, то фаер автоматически его сново забанит. Тогда пусть вызывает спеца надом. Вам это только +, как доп. заработок)))

Аватара пользователя
RusBiT
лейтенант
Сообщения: 635
Зарегистрирован: 2007-08-03 11:43:53
Откуда: Красноярск
Контактная информация:

Re: Запретить сканирование сети

Непрочитанное сообщение RusBiT » 2007-09-30 16:57:42

А чем можно узнать какой ip адрес больше всего делает запросы в секунду к примеру ? А то tcpdump'ом не очень удобно смотреть
Чем больше я познаю FreeBSD, тем больше я считаю себя ламером :)

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35069
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Запретить сканирование сети

Непрочитанное сообщение Alex Keda » 2007-09-30 19:33:32

а снорт - неможет чтоли?
Убей их всех! Бог потом рассортирует...

Аватара пользователя
serge
майор
Сообщения: 2131
Зарегистрирован: 2006-07-30 15:34:14
Откуда: Саратов
Контактная информация:

Re: Запретить сканирование сети

Непрочитанное сообщение serge » 2007-09-30 20:52:54

portsentry умеет выполнять скрипт при обнаружении сканирования. Там как раз добавляются правила для ipfw. Можно попробовать прикрутить отправку почтовго уведомления пользователю.