Jump to content
Калькуляторы

Автоматическое определение наличия у юзера вируса с помощью flow-tools Делал кто-нибудь?

Поделитесь опытом, автоматического определение наличия у юзера вирусов с помощью flow-tools?

Слышал, что некоторые именно так их определяют. Или может есть более лучший способ?

Share this post


Link to post
Share on other sites

Да не вопрос: устанавливает более, допустим, 50 соединений в минуту по tcp/25 - спамер, отстреливать.

Устанавливает более, к примеру, 5000 соединений в минуту пофиг с чем - сканер, это у него зверушка размножаться пытается.

Ну и в том же духе.

Достаточно автоматически отстреливать спамеров, и членов ботнетов в вашей сети практически гарантированно не будет.

Share this post


Link to post
Share on other sites

Способ-то есть, отлов пакетов realtime по сигнатурам на GPU. Например gnort. Но все это пока в зачаточном состоянии.

Share this post


Link to post
Share on other sites

Спасибо. Попробую написать правила для flow-report и за одно гляну на gnort...

Share this post


Link to post
Share on other sites

Оказалось все проще:

The flow-dscan utility is used to detect suspicious activity such as port scanning, host scanning, and flows with unusually high octets or packets. A source and destination suppress list is supported to help prevent false alarms due to hosts such as nameservers or popular web servers that exchange traffic with a large number of hosts. Alarms are logged to syslog or stderr. The internal state of flow-dscan can be saved and loaded to allow for interrupted operation.

Share this post


Link to post
Share on other sites
Спасибо. Попробую написать правила для flow-report и за одно гляну на gnort...

Сначала гляньте на snort. :-)

Share this post


Link to post
Share on other sites

Современный я не видел, гляну. Спасибо за совет.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this