Dotaz na ssh bruteforce

Jan Dusatko jan at dusatko.org
Tue Jan 27 20:04:38 CET 2009


> > Co se tohoto tyka, prehazovani na jiné porty moc v lasce nemam, ale
> ma
> > to svoje opodstatneni. Druhou věci je pak urcite blokovani. Ja
> > pouzivam
> > pf a u toho je mozne nastavit maximalni pocet otevrenych spojeni za
> > minutu,
> > dele je mozne nastavit pam_af_tool a denyip pripadne bruteforce, aby
> > ukladal tyto spojeni do nejake tabulky. Pravdou je, ze zatím blokuji
> > veskerou komunikaci z uvedenych adres, efektnejsi by vazne mohlo byt
> > pouzit quick drop ;o))
> > To kvuli cemu se o tyto utoky zajimam ale neni hrozba pro ssh, ani
> > plneni
> > log souboru balastem. Duvodem je pravdepodobne ohrozeni dalsich
> sluzeb
> > z uvedene IP, pokud se nejaky stroj nebo sit snazi o utok, proc by
> > utocila
> > pouze na jednu sluzbu. Jde mi o urcitou pasivni analyzu hrozeb.
> >
> > Honza
> >
> 
> 
> Nestaci potom jenom pocet spojeni z dane IP proste pocitat?
> Nebo Ti jde o to, odlisit jednotlive druhy utoku ("chytre", "script
> kiddies",...)?
> Nechapu, jak to souvisi s ukladanim pouzitych hesel.

Je to jenom jedna analyza nad dalsim souborem dat.
O sber dat o urcitych utocich se stara sonda, pro další potrebuji
hlavne analyzu na stroji, tedy kombinace NIDS a HIDS. Je to jen hra,
zatim bez nejakeho cile. Jsem zvedavy, jaky je vysledek, jestli pomuze
napriklad blokovat spam servery a tak se branit utokum na ssh a vice versa,
nebo jestli botnety jsou jednoucelove. Protoze SSH neni jedina sluzba,
ktera je ohrozovana.




More information about the Users-l mailing list