[sage] ssh-angriffe haeufen sich ...
Dirk Wetter
dirk.wetter at guug.de
Thu Apr 24 18:04:27 CEST 2008
Am 24.04.2008 16:34, Frank Brodbeck schrieb:
> Andreas Jellinghaus has spoken, thus:
>> Am Donnerstag, 24. April 2008 11:32:39 schrieb Benedikt Stockebrand:
>>> auch wenn das jetzt Gefahr läuft, einen Flame War loszutreten: Wenn
>>> ich durch einen anderen Port oder ähnliches frühzeitig sicherzustelle,
>>> dass nur noch ein Bruchteil solcher Script-Angriffe stattfindet, dann
>>> reduziere ich damit die Anzahl von Fehlalarmen, das heisst ich habe
>>> mehr Zeit, um mich um ernstzunehmendere Angriffe zu kümmern.
>> Da will ich doch mal in die Gruppe nachfragen:
>> Was macht ihr bei einem Port scan auf 22 oder einem login versuch?
>
> Ich nutze (allerdings nur privat) die overload Funktion der pf und
> blocke dann frühzeitig den Netzverkehr der ip's in der entsprechenden pf
> table. Funktioniert natürlich bei offensichtlichen scan versuchen.
genauso mach ich das in Grenzen auch (wie erwahnt). Nur die Schwellwerte sind
etwas schwierig und das ist DoS-anfällig, wenn ich Dir Pakete mit falscher
Absendeadresse von Deinem Nameserver schicke. Oder wenn Du ein paar Webserver
hast und Du gefakte Pakete vom Telekom- o.ä. -Proxy geschickt bekommst. ;-)
Best / Schöne Grüße,
Dirk
--
Dr. Dirk Wetter, GUUG e.V. http://www.guug.de
GUUG-Frühjahrsfachgespräch 2008 http://www.guug.de/ffg
OpenSolaris Developer Conference http://www.osdevcon.org
GUUG Hamburg http://www.guug.de/lokal/hamburg
OpenPGP key fingerprint: 2AD6 BE0F 9863 C82D 21B3 64E5 C967 34D8 11B7 C62F
More information about the SAGE
mailing list