Blokace opakovanych pokusu o pripojeni?
Jan Houstek
Jan.Houstek na mff.cuni.cz
Středa Březen 1 14:10:47 CET 2006
On Wed, 1 Mar 2006, Petr Barta wrote:
> Zdravim vespolek,
> potreboval bych nejakou metodu, jak zablokovat (automaticky,
> nejlepe pomoci iptables) IP adresu, ze ktere chodi pokusy o ssh (ftp,
> pop3, apod.) spojeni, ovsem pokazde s jinym username. Umim zablokovat
> spojeni, pokud se snazi nekdo uhodnout heslo (opakovana spojeni se stejnym
> jmenem), ale ne, kdyz je jmeno pokazde jine. Tyhle pokusy se opakuji ne
> moc casto, a (zatim) pokazde slo o serii pokusu z jedne IP adresy, a po
> case (vetsinou po rucnim zablokovani) zase z jine.
> Rad bych se pritom vyhnul moznosti DoS, proto bych rad, kdyby
> takova blokace byla jen casove omezena, idealne jen po dobu, pokud trva
> utok. Snazil jsem se neco vymyslet pomoci match "recent" v IPtables, ale
> budto tomu nerozumim, nebo se to chova jinak nez bych cekal (a nechci si
> pritom odriznout vetev, delam to na vzdalenem stroji).
No ja nevim, delat to jen ciste pres iptables mozna neni uplne to prave.
Obvykle se takova vec resi tak, ze se sleduje log demona a kdyz to
sledovadlo usoudi, ze se tam vyskytl nejaky zlocinec, tak podnikne
protiopatreni (at uz docasne cestne misto na blacklistu, nebo neco
rafinovanejsiho, jako napr. zamerne zpomalovani komunikace, vraceni
vsech paketu zpet odesilateli 100x atp.).
Ciste pomoci iptables by se mozna pomoci kombinace nejakych chytrych
modulu (limit, recent, connlimit) dalo zaridit neco ve stylu "pokud je z
jedne IP adresy vic nez N paketu na 22/tcp s nastavenym SYN flagem za
poslednich M minut, nepoustej z teto adresy zadne dalsi. Ale z praktickeho
hlediska se mi zda efektnejsi to resit az nekde vys (primo v sshd,
v tcp_wrappers apod.).
-- Honza Houstek
Další informace o konferenci Linux