sulinet adsl

Péter Tamás Tamas.Peter at netvisor.hu
2010. Már. 10., Sze, 14:09:14 CET


> Február 7-én 8516 darab, ssh-n keresztüli kapcsolatfelvétel volt 5
> különböző címről, átlag 1-8 másodpercenként, ismeretlen
> felhasználónevekkel és jelszavakkal próbálkoztak. Egyikről kevesebb,
> másikról több, de az egyikről 7864 bejelentkezési kísérlet volt, 6 óra
> 39
> perc és 49 másodperc alatt, azaz átlagosan 3 másodpercenként. Azóta
> felraktam a fail2ban-t és 3 próbálkozás után 10 percre az adott cím
> feketelistát kap.
> Ha ilyenkor ő még próbálkozik, növeli-e ez a half-open sessionok
> számát,
> vagy ilyenkor inkább abba szokták hagyni?
> Ugyanez megy az ftp-porton és az smtp-n is.

A Syn-Attack DoS és a jelszó próbálgatás más jellegű támadás, célja és kivitelezése is más. Nem hiszem hogy átváltottak DoS-ba, ha nem az volt a céljuk. Amit írtál, abból nekem 20 kapcsolat/perc jön ki, ez nem is éri el a tűzfal 500/perc ingerküszöbét. Ráadásul ha aktívan bontottad (REJECT), és nem hagytad timeout-ra futni (DROP), akkor nem is tekinti half-open kapcsolatnak a tűzfal.

Nálatok aznap egyszer kapcsolt be a syn-flood védelem, és csak egy perc hosszan, amit én nem tartanék problémának:
Mar  7 07:00:05.131: %FW-4-ALERT_ON: getting aggressive, count (60/500) current 1-min rate: 501
Mar  7 07:01:08.084: %FW-4-ALERT_OFF: calming down, count (0/400) current 1-min rate: 224

A jelszó próbálgatást viszont igen. De ezt mi sem érzékelni nem tudjuk, sem elhárítani a tűzfal szintjén. A megoldásod a lehető legjobb erre a célra.

Üdv,
Tamás


További információk a(z) Techinfo levelezőlistáról