forum.lissyara.su

Доброго времени суток всем.
Ситуация следующая, есть игровой сервер за FreeBSD 8.2 в качестве шлюза. На игровой сервер обнаруживаются попытки брутфорса пароля игрового админа с разных айпи адресов. Силами игрового сервера это не блокировать. На FreeBSD эти попытки фиксируются как аномальный траффик для игрового аккаунта. Видно как большая отдача и маленький прием на игровой порт. На iftop выглядит примерно так:
Вот эти цифры 3,41кб и 890 кб (бывает и до 2 мегабит) показывают зловредное соединение которое желательно обрубить. Для рабочего коннекта цифры состовляют примерно 50 кб / 30 кб соответственно. Исходный порт нарушителя не обязательно http. Подскажите пожалуйста, чем лучше диагностировать такие коннекты на FreeBSD для последующего автоматического deny all адреса нарушителя?

DenyHosts
Fail2ban
BlockHosts
Blacklist
ну и тд.

Всё бы хорошо, но эти программы парсят логи а для шлюза, такой коннект вполне обычный с единственной разницей что идет более высокий трафик.

У нас вот у провайдера один IP-Адрес, а сетей у него много, и что мне тоже не играть? IP-Адрес не трогай.
Напиши простой скрипт, если исходящий трафик больше в течении X времени, руби коннект.

В том и вопрос, чем в скрипте смотреть трафик проходящий через интерфейс с сортировкой протокола или порта и разделением по айпи адресам

Не знаю, подойдёт или нет, я использовал ранее ipacctd для учёта всех видов траффика.
http://www.lissyara.su/articles/freebsd ... t/ipacctd/

dikens3 писал(а):Не знаю, подойдёт или нет, я использовал ранее ipacctd для учёта всех видов траффика...

Спасибо как раз то, что надо