[sage] ssh-angriffe haeufen sich ...

Frank Brodbeck fab at guug.de
Thu Apr 24 18:34:08 CEST 2008


Hallo,

Dirk Wetter has spoken, thus:
> Am 24.04.2008 16:34, Frank Brodbeck schrieb:
> > Andreas Jellinghaus has spoken, thus:
> >> Da will ich doch mal in die Gruppe nachfragen:
> >> Was macht ihr bei einem Port scan auf 22 oder einem login versuch?
> > 
> > Ich nutze (allerdings nur privat) die overload Funktion der pf und
> > blocke dann frühzeitig den Netzverkehr der ip's in der entsprechenden pf
> > table. Funktioniert natürlich bei offensichtlichen scan versuchen.
> 
> genauso mach ich das in Grenzen auch (wie erwahnt). Nur die Schwellwerte sind
> etwas schwierig und das ist DoS-anfällig, wenn ich Dir Pakete mit falscher
> Absendeadresse von Deinem Nameserver schicke. Oder wenn Du ein paar Webserver
> hast und Du gefakte Pakete vom Telekom- o.ä. -Proxy geschickt bekommst. ;-)

Das ist richtig, empfinde ich allerdings gegenüber andere Ports zu
nutzen als bessere Variante. Man könnte alternativ dazu auch nur die
Bandbreite für diese hosts beschneiden anstatt sie komplett
auszusperren.

Gruss,
Frank.

-- 
Frank Brodbeck <fab at guug.de>



More information about the SAGE mailing list