Jobbiga attacker

[Leif Larsson]

OpenBSD har en form av SYN-proxy i sin pf. Jag har inte kikat så noga på 
den men man kan säkert göra massor med kul med den.
Kolla på "synproxy" tillsammans med:
"max _number_"
"max-src-conn _number_"
"max-src-conn-rate _number_ / _seconds_"
(http://www.openbsd.org/cgi-bin/man.cgi?query=pf.conf&apropos=0&sektion=0&manpath=OpenBSD+3.9&arch=i386&format=html)

/Leif

Magnus Danielson skrev:
> From: G Hasse <gh at raditex.se>
> Subject: Re: Jobbiga attacker
> Date: Sat, 22 Jul 2006 21:28:37 +0000
> Message-ID: <20060722212837.GN28777 at mail.raditex.se>
> 
> Hej Göran,
> 
>>>> Jag får hela tiden jobbiga atacker mot min webb-server.
>>>> Är det någon som har något bra tipps...
>>> Jag brukar spärra slika addresser i firewall reglerna. Hur man gör det bäst på
>>> BSD vet du nog mer om än jag, men du borde hitta det ganska fort.
>> Jo jag gjorde ett program (http://www.raditex.se/~gh/BlockSite.html), och några
>> varianter av detta, men när man fått 2000 rader i firewallen så var det slut...
>>
>> Och man vill ju inte sitta och bevaka manuellt.
> 
> 1) Du kan nog droppa spärrar ganska snart. Oftas hoppar de genom en maskin, men
>    lämnar den rätt fort. Du vill skydda dig mot den fortsatta attacken, inte
>    mot den egentliga användaren där. Automagiserar du blockning så kommer nya
>    försök från den maskinen blockas igen.
> 
> 2) Skripta ovanpå lämplig sniffer kan vara ett trick. Jag har t.ex. ett skript
>    som fångar inbrottsförsök mot SSH och resultatet blir spärrad address som
>    sedan timar ut efter en längre tid.
> 
> Jag har länge funderat på att hacka ihop något för egen del men inte orkat göra
> det hela vägen, men det borde inte vara så svårt. Egentligen är det inte så
> olikt SPAM-filtrering, man tar emot något och spärrar sedan för mer av samma.
> 
> MVH
> Magnus
> _________________________________________________
> BSD Users Sweden -- BUS at stacken.kth.se
> https://lists.stacken.kth.se/mailman/listinfo/bus
>