Jump to content

Автоматическое определение наличия у юзера вируса с помощью flow-tools

hiller
 Share

Recommended Posts

hiller

hiller

Posted
Posted

Поделитесь опытом, автоматического определение наличия у юзера вирусов с помощью flow-tools?

Слышал, что некоторые именно так их определяют. Или может есть более лучший способ?

UglyAdmin

UglyAdmin

Posted
Posted

Да не вопрос: устанавливает более, допустим, 50 соединений в минуту по tcp/25 - спамер, отстреливать.

Устанавливает более, к примеру, 5000 соединений в минуту пофиг с чем - сканер, это у него зверушка размножаться пытается.

Ну и в том же духе.

Достаточно автоматически отстреливать спамеров, и членов ботнетов в вашей сети практически гарантированно не будет.

jab

jab

Posted
Posted

Способ-то есть, отлов пакетов realtime по сигнатурам на GPU. Например gnort. Но все это пока в зачаточном состоянии.

hiller

hiller

Posted
  • Author
Posted

Оказалось все проще:

The flow-dscan utility is used to detect suspicious activity such as port scanning, host scanning, and flows with unusually high octets or packets. A source and destination suppress list is supported to help prevent false alarms due to hosts such as nameservers or popular web servers that exchange traffic with a large number of hosts. Alarms are logged to syslog or stderr. The internal state of flow-dscan can be saved and loaded to allow for interrupted operation.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.