Odchyceni udalosti pri prihlaseni k ssh
Peter Surda
shurdeek na routehat.org
Čtvrtek Prosinec 9 23:17:01 CET 2004
Michal Kubecek wrote:
>>Udelam si skript "Zablokuj.sh" , ktery projede posledni
>>zaznamy treba ve /var/log/messages a podle nich prida
>>do iptables mezi zakazane adresy IP, ze kterych se nekdo
>>neuspesne pokousi prihlasit k ssh (prostrednictvim uzivatelu
>>jako test, john, george, server, apod.). A tento skript
>>"Zablokuj.sh" bych potreboval okamzite spustit, pokud se
>>kdokoli pokusi prihlasit k ssh. To znamena, ze jiz pri
>>dalsim pokusu se prihlasit k ssh z teto stejne IP adresy,
>>treba i za nekolik vterin, bude tato IP blokovana na urovni
>>firewallu.
>>
>>
>Tento typ automatického blokování vypadá na první pohled úžasně, ale na
>druhý pohled je to nahrávka na DoS útok. Hint: rozmyslete si, co se
>stane, když útočník nasimuluje podobný test s podvrženou IP adresou
>počítače, ze kterého se potřebujete přihlásit.
>
>
"Podvrhnut" ip adresu ked ma prebehnut cela komunikacia, navyse
kryptovanym protokolom, je dost problem. Doraz na dost. To je ine ako
keby si len poslal syn packet, pripadne header nejakeho jednoducheho
protokolu (a hadal seq_num).
> Michal Kubeček
>
>
S pozdravom
Peter Surda
Další informace o konferenci Linux