Перейти к содержимому
Калькуляторы

Автоматическое определение наличия у юзера вируса с помощью flow-tools Делал кто-нибудь?

Поделитесь опытом, автоматического определение наличия у юзера вирусов с помощью flow-tools?

Слышал, что некоторые именно так их определяют. Или может есть более лучший способ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да не вопрос: устанавливает более, допустим, 50 соединений в минуту по tcp/25 - спамер, отстреливать.

Устанавливает более, к примеру, 5000 соединений в минуту пофиг с чем - сканер, это у него зверушка размножаться пытается.

Ну и в том же духе.

Достаточно автоматически отстреливать спамеров, и членов ботнетов в вашей сети практически гарантированно не будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Способ-то есть, отлов пакетов realtime по сигнатурам на GPU. Например gnort. Но все это пока в зачаточном состоянии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо. Попробую написать правила для flow-report и за одно гляну на gnort...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Оказалось все проще:

The flow-dscan utility is used to detect suspicious activity such as port scanning, host scanning, and flows with unusually high octets or packets. A source and destination suppress list is supported to help prevent false alarms due to hosts such as nameservers or popular web servers that exchange traffic with a large number of hosts. Alarms are logged to syslog or stderr. The internal state of flow-dscan can be saved and loaded to allow for interrupted operation.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо. Попробую написать правила для flow-report и за одно гляну на gnort...

Сначала гляньте на snort. :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Современный я не видел, гляну. Спасибо за совет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.