Blokace opakovanych pokusu o pripojeni?

[Jan Houstek]

On Wed, 1 Mar 2006, Petr Barta wrote:
> Zdravim vespolek,
> 	potreboval bych nejakou metodu, jak zablokovat (automaticky,
> nejlepe pomoci iptables) IP adresu, ze ktere chodi pokusy o ssh (ftp,
> pop3, apod.) spojeni, ovsem pokazde s jinym username. Umim zablokovat
> spojeni, pokud se snazi nekdo uhodnout heslo (opakovana spojeni se stejnym
> jmenem), ale ne, kdyz je jmeno pokazde jine. Tyhle pokusy se opakuji ne
> moc casto, a (zatim) pokazde slo o serii pokusu z jedne IP adresy, a po
> case (vetsinou po rucnim zablokovani) zase z jine.
> 	Rad bych se pritom vyhnul moznosti DoS, proto bych rad, kdyby
> takova blokace byla jen casove omezena, idealne jen po dobu, pokud trva
> utok. Snazil jsem se neco vymyslet pomoci match "recent" v IPtables, ale
> budto tomu nerozumim, nebo se to chova jinak nez bych cekal (a nechci si
> pritom odriznout vetev, delam to na vzdalenem stroji).

No ja nevim, delat to jen ciste pres iptables mozna neni uplne to prave. 
Obvykle se takova vec resi tak, ze se sleduje log demona a kdyz to 
sledovadlo usoudi, ze se tam vyskytl nejaky zlocinec, tak podnikne 
protiopatreni (at uz docasne cestne misto na blacklistu, nebo neco 
rafinovanejsiho, jako napr. zamerne zpomalovani komunikace, vraceni 
vsech paketu zpet odesilateli 100x atp.).

Ciste pomoci iptables by se mozna pomoci kombinace nejakych chytrych 
modulu (limit, recent, connlimit) dalo zaridit neco ve stylu "pokud je z 
jedne IP adresy vic nez N paketu na 22/tcp s nastavenym SYN flagem za 
poslednich M minut, nepoustej z teto adresy zadne dalsi. Ale z praktickeho 
hlediska se mi zda efektnejsi to resit az nekde vys (primo v sshd,
v tcp_wrappers apod.).

-- Honza Houstek