Radim Kolar napsal(a):
za posledni rok se utoky na moje stroje staly vice sofistikovanejsi
driv jedno IPcko zkouselo hodne hesel (asi 50) - to bylo snazsi
bloknout. Ted zkusi jen 2 hesla a pak jde pryc a za chvili je novy
pokus z uplne jineho IP. Takze blokovat podle IP dosavadnim naivnim
zpusobem toho moc neprinasi. IP adres z kterych to zkouseji mam v
logach za pul roku 30 tisic, prakticky se neopakuji, vetsina ma 1-2
pokusu celkem na heslo za pul roku.
Jak jsem psal kousicek vyse - s timto jsem bojoval pred 1,5 mesicem
na blokovani velkeho zkouseni hesel z jednoho stroje jsem uspesne
pouzival buteblock ve spojeni s IPFW - stacilo po 3 neuspesnych pokusech
danou IP bloknout na 10 min a byl od ni klid. Jak ale zacaly ty
distribuovane utoky, byl problem na svete.
Zjistil jsem, ze utocici stroj da 1 - 2 pokusy a jde na dalsi server (a
jel rozsah IP jeden po druhym, takze vyzkousel prihlaseni na vsech
strojich v rozsahu, jeden vedle druheho. Vyresil jsem to tak, ze jsem si
presmeroval authlog z tech stroju z jedne podsite na router a opet
pustil do bruteblock. A protoze se utocici IP vrati s dasim pokusem az
po nekolika hodinach az dnech, zablokuju danou IP natvrdo na cely tyden.
Kdyz jsem to zavedl, mel jsem po dvou dnech zablokovanych 160 IP adres.
Dnes mam zablokovanych 12 IP adres a vypisy z authlogu prakticky prazdne.
Zbynek
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
