Odchyceni udalosti pri prihlaseni k ssh

[Peter Surda]

Michal Kubecek wrote:

>>Udelam si skript "Zablokuj.sh" , ktery projede posledni
>>zaznamy treba ve /var/log/messages a podle nich prida
>>do iptables mezi zakazane adresy IP, ze kterych se nekdo
>>neuspesne pokousi prihlasit k ssh (prostrednictvim uzivatelu
>>jako test, john, george, server, apod.). A tento skript
>>"Zablokuj.sh" bych potreboval okamzite spustit, pokud se
>>kdokoli pokusi prihlasit k ssh. To znamena, ze jiz pri
>>dalsim pokusu se prihlasit k ssh z teto stejne IP adresy,
>>treba i za nekolik vterin, bude tato IP blokovana na urovni
>>firewallu.
>>    
>>
>Tento typ automatického blokování vypadá na první pohled úžasně, ale na
>druhý pohled je to nahrávka na DoS útok. Hint: rozmyslete si, co se
>stane, když útočník nasimuluje podobný test s podvrženou IP adresou
>počítače, ze kterého se potřebujete přihlásit.
>  
>
"Podvrhnut" ip adresu ked ma prebehnut cela komunikacia, navyse 
kryptovanym protokolom, je dost problem. Doraz na dost. To je ine ako 
keby si len poslal syn packet, pripadne header nejakeho jednoducheho 
protokolu (a hadal seq_num).

>							  Michal Kubeček
>  
>
S pozdravom
Peter Surda