hiller Опубликовано 17 июля, 2009 · Жалоба Поделитесь опытом, автоматического определение наличия у юзера вирусов с помощью flow-tools? Слышал, что некоторые именно так их определяют. Или может есть более лучший способ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 17 июля, 2009 · Жалоба Да не вопрос: устанавливает более, допустим, 50 соединений в минуту по tcp/25 - спамер, отстреливать. Устанавливает более, к примеру, 5000 соединений в минуту пофиг с чем - сканер, это у него зверушка размножаться пытается. Ну и в том же духе. Достаточно автоматически отстреливать спамеров, и членов ботнетов в вашей сети практически гарантированно не будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 17 июля, 2009 · Жалоба Способ-то есть, отлов пакетов realtime по сигнатурам на GPU. Например gnort. Но все это пока в зачаточном состоянии. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hiller Опубликовано 18 июля, 2009 · Жалоба Спасибо. Попробую написать правила для flow-report и за одно гляну на gnort... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hiller Опубликовано 18 июля, 2009 · Жалоба Оказалось все проще: The flow-dscan utility is used to detect suspicious activity such as port scanning, host scanning, and flows with unusually high octets or packets. A source and destination suppress list is supported to help prevent false alarms due to hosts such as nameservers or popular web servers that exchange traffic with a large number of hosts. Alarms are logged to syslog or stderr. The internal state of flow-dscan can be saved and loaded to allow for interrupted operation. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 18 июля, 2009 · Жалоба Спасибо. Попробую написать правила для flow-report и за одно гляну на gnort... Сначала гляньте на snort. :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hiller Опубликовано 18 июля, 2009 · Жалоба Современный я не видел, гляну. Спасибо за совет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...