Jobbiga attacker
Magnus Danielson
cfmd at bredband.net
Sat Jul 22 23:50:45 CEST 2006
From: G Hasse <gh at raditex.se>
Subject: Re: Jobbiga attacker
Date: Sat, 22 Jul 2006 21:28:37 +0000
Message-ID: <20060722212837.GN28777 at mail.raditex.se>
Hej Göran,
> > > Jag får hela tiden jobbiga atacker mot min webb-server.
> > > Är det någon som har något bra tipps...
> >
> > Jag brukar spärra slika addresser i firewall reglerna. Hur man gör det bäst på
> > BSD vet du nog mer om än jag, men du borde hitta det ganska fort.
>
> Jo jag gjorde ett program (http://www.raditex.se/~gh/BlockSite.html), och några
> varianter av detta, men när man fått 2000 rader i firewallen så var det slut...
>
> Och man vill ju inte sitta och bevaka manuellt.
1) Du kan nog droppa spärrar ganska snart. Oftas hoppar de genom en maskin, men
lämnar den rätt fort. Du vill skydda dig mot den fortsatta attacken, inte
mot den egentliga användaren där. Automagiserar du blockning så kommer nya
försök från den maskinen blockas igen.
2) Skripta ovanpå lämplig sniffer kan vara ett trick. Jag har t.ex. ett skript
som fångar inbrottsförsök mot SSH och resultatet blir spärrad address som
sedan timar ut efter en längre tid.
Jag har länge funderat på att hacka ihop något för egen del men inte orkat göra
det hela vägen, men det borde inte vara så svårt. Egentligen är det inte så
olikt SPAM-filtrering, man tar emot något och spärrar sedan för mer av samma.
MVH
Magnus
More information about the BUS
mailing list