Страница 1 из 1
Запретить сканирование сети
Добавлено: 2007-09-15 14:00:34
RusBiT
У меня такая проблема. В сети есть вирус у определенного человека, он сканирует порты, а у моего провайдера стоит ограничение на определенное кол-во одновременно открытых портов, и если этот человек врубает свой комп, то срабатывает блокировка у провайдера на интернет. Если я например блокирую ip адрес этого пользователя на шлюзе, то всё нормально (он не доходит то инета)
Не подскажете тулзу которая может автоматически находит сканирование айпи адресов и портов, и автоматически банит данный ip, и например выводит сообщение - вы забанены
Re: Запретить сканирование сети
Добавлено: 2007-09-15 18:03:17
Alex Keda
ну, чтобы прям сообщение - аже не знаю, а вот насчёт сканирования - поможет что-то типа snort/portsentry, - но уж как ты будешь их привязывать к блокировке - не знаю...
Re: Запретить сканирование сети
Добавлено: 2007-09-15 20:30:20
dikens3
На ipfw можно сделать ограничение на количество SYN пакетов, и делов то. (Для этого IP)
P.S. А что мешает убрать вирус? Зачем бороться со следствием?
Re: Запретить сканирование сети
Добавлено: 2007-09-15 21:13:02
BigBrother
как вариант, есть snort_inline который в отличии от простого snort`a, умеет работать c iptables/ipfw. Тоесть в случае чего, дает команду фаерволлу заблокировать... Но, разве не лучше будет убрать вирус на проблемной машине, как уже было сказано/предложено выше?
Re: Запретить сканирование сети
Добавлено: 2007-09-16 9:34:48
RusBiT
BigBrother писал(а):как вариант, есть snort_inline который в отличии от простого snort`a, умеет работать c iptables/ipfw. Тоесть в случае чего, дает команду фаерволлу заблокировать... Но, разве не лучше будет убрать вирус на проблемной машине, как уже было сказано/предложено выше?
В сети около 250 компьютеров, убрать конечно можно (так и сделали), но снова же может такое повториться, заблокировать интернет всей сети
А если просто файрволом блокировать - то пользователи явно не поймут из за чего такое произошло...
Re: Запретить сканирование сети
Добавлено: 2007-09-16 9:52:08
Alex Keda
редирект на локальный сайт, где будет написана прична
Re: Запретить сканирование сети
Добавлено: 2007-09-16 9:58:47
RusBiT
lissyara писал(а):редирект на локальный сайт, где будет написана прична
Тож выход. Только вот пользователь к примеру, убрал у себя вирус, или прекратил сканирование сети, а разбанить себя не сможет, придется звонить в контору.
Хочется полной оптимизации
Re: Запретить сканирование сети
Добавлено: 2007-09-16 10:06:07
Alex Keda
раз в сутки кроном убирать правила...
Re: Запретить сканирование сети
Добавлено: 2007-09-16 10:18:24
RusBiT
lissyara писал(а):раз в сутки кроном убирать правила...
Не напишите мануал ?
Re: Запретить сканирование сети
Добавлено: 2007-09-16 10:24:48
Alex Keda
нет
некогда
Re: Запретить сканирование сети
Добавлено: 2007-09-16 10:36:45
RusBiT
lissyara писал(а):нет
некогда
Тогда хотелось бы увидеть эти правила на файрвол которые блокируют, а потом перекидывают на http урл
Re: Запретить сканирование сети
Добавлено: 2007-09-16 10:38:09
Alex Keda
секция fwd
и, кстати, это тут где-то обсуждалось
Re: Запретить сканирование сети
Добавлено: 2007-09-16 12:21:57
BigBrother
RusBiT писал(а):А если просто файрволом блокировать - то пользователи явно не поймут из за чего такое произошло...
А вы на главной странице сайта этой конторы, зделайте не большую сноску типа
Код: Выделить всё
"если вдруг у вас перестали работать все сервисы локальной сети (файл. сервер, фтп. сервер, игровой сервер и т.д) значит ваш комп заражен или отпраляет злонамерные пакеты и вы были заблокированы до выясненния объстоятельств. Если вы уверены что вы "вылечили" свой комп от заразы, звоните 999-999-999."
После того как его разбанят и есть он все же НЕ вылечился, то фаер автоматически его сново забанит. Тогда пусть вызывает спеца надом. Вам это только +, как доп. заработок)))
Re: Запретить сканирование сети
Добавлено: 2007-09-30 16:57:42
RusBiT
А чем можно узнать какой ip адрес больше всего делает запросы в секунду к примеру ? А то tcpdump'ом не очень удобно смотреть
Re: Запретить сканирование сети
Добавлено: 2007-09-30 19:33:32
Alex Keda
а снорт - неможет чтоли?
Re: Запретить сканирование сети
Добавлено: 2007-09-30 20:52:54
serge
portsentry умеет выполнять скрипт при обнаружении сканирования. Там как раз добавляются правила для ipfw. Можно попробовать прикрутить отправку почтовго уведомления пользователю.