forum.lissyara.su

Всем доброго времени суток.

наверника уже есть мне нужная тема... но я ни как не могу сформулировать что искать, поподаю в направлении SSH или ддос

FreeBSD + ipfw
в ipfw настроин проброс порта во внутрь сети, и на этот порт пытаються подобрать пароль, на FreeBSD по этому порту логов нет, все логи на внутреней машине куда пробрасывается порт.

Подскажите или помогите сформулировать.

Заранее спасибо.

помогите сформулировать

В чём состоит задача? Мониторинг брутфорса?

для меня видится задача в блокировке таких попыток, думаю как в "щит" для SSH.

Со стороны роутера, думаю, можно только ограничить доступ по IP.
Смотреть надо на стороне атакуемого сервиса. Тут уж зависит от применяемой ОС.
Если юниксподобные, можно настроить логи атак скриптами, и передачу их на роутер, где они будут заноситься в таблицу IPFW.
В общем, конкретика нужна.

попробовал собрать в кучу мысли.
получается, что пытаются подобрать логин и пароль на внутренний сервер под winser2000+удаленое управление (пробовал сменить порт, не помогает, у него характерный отклик), на который настроен проброс порта во FreeBSD.
лог внутреннего сервера показывает, что с одного IP происходит от 3х (самое малое, что увидел) до примерно 250 (самое большое, что увидел) попыток подобрать лог и пас.
попутки идут друг за другом, одновременно с 3х IP замечено.
есть ли методы во FreeBSD+ipfw для такого случая?

ограничить по своим IP нет возможности поскольку присутствуют динамические IP у пользователей.

Можно временно блокировать IP атакующего посредством IPFW.
Логи можно привести к общему знаменателю? Хотя-бы, выкладывать на расшаренный ресурс в виде plain text.

Логи можно привести к общему знаменателю?

сейчас пробую настроить выборку IP адресов, пока в работе...

Паки и паки... Каждый раз одно и то же. Ну не открывайте наружу внутреннюю сетку, если не хотите, чтобы к вам постоянно ломились. Установить впн - дело 5 минут.

Срадствами PF есть замечательное решение
В начале таблицу на основе файла (в файл по крону сбрасываю текущее содержание)
table <hammering> persist file "/usr/local/etc/pf.hammering"


Для себя я установил что в ручную я явно не подключаюсь чаще чем два раза в минуту, по идее и 10 подключений мне не надо

pass log on $ext_if inet proto tcp from any to $ext_if port ssh keep state \
(max-src-conn 10, max-src-conn-rate 2/60, overload <hammering> flush)

Ну и в принципе просто блокировать не интересно, они других будут DDOS ить, пусть покорячатся
block log on $ext_if inet proto tcp from <hammering> to $ext_if port ssh probability 60%

http://www.lissyara.su/articles/freebsd ... /fail2ban/
http://www.lissyara.su/articles/freebsd ... ortsentry/

Dmitriy_3206 писал(а): Ну и в принципе просто блокировать не интересно, они других будут DDOS ить, пусть покорячатся
block log on $ext_if inet proto tcp from <hammering> to $ext_if port ssh probability 60%

ога, этта праильна)

Я вообще ssh закрыл для всех кроме своей группы ип адресов, ип статика у всех.
Можно еще выставить количество неверных попыток (MaxAuthTries) в ssh, после которого будит рваться соединение с атакующим.
Мониторить лог /var/log/auth.log , после просто банить на уровне маршрутов (route add 89.252.36.223 127.0.0.1 -blackhole)
А при чем тут виндуз 2000 и ssh?