RES: [FUGSPBR] Detectar scaniamento
Ricardo A. Reis
n.i.b em terra.com.br
Ter Ago 27 23:13:08 BRT 2002
Rafael Henrique wrote:
> Eu utilizo o portsentry...
>
>
Gostaria de saber de vc's o quanto um firewall closed bem configurado
com ipfw e com syslog-ng pode detectar tipos de scan..
Eu agora estou testando ipfw2 ..e implementei uma regra
Ex
add 00225 allow tcp from any to me setup limit src-addr 10
Esta regra limita o numero de conexões entrantes no firewall vinda de
uma mesma origem a 10, as outro tentativas são dropadas e loga no
messagem desta forma.
Connection attempt to TCP 200.158.210.107:113 from 200.241.126.3:50909
Connection attempt to TCP 200.158.210.107:1214 from 200.242.24.52:2585
Connection attempt to TCP 200.158.210.107:1214 from 200.242.24.52:2585
Connection attempt to TCP 200.158.210.107:1214 from 200.242.24.52:2585
Pedi para amigos fazer o teste do meu firewall e o nmap entra em
parafuso porque escaneia muito rapido e quase td e' dropada quando na
verdade esta aberto ou filtrado..pois esta regra esta antes das
statefull e stateless no meu firewall.
Porem se a pressoas tenta scaner um unica porta sera tratada
normalmente pelas outras regras..
Bom o que vc acham?
-------------- Próxima Parte ----------
Um anexo não-texto foi limpo...
Nome: não disponível
Tipo: application/pgp-signature
Tamanho: 187 bytes
Descrição: não disponível
URL: <http://www.fug.com.br/pipermail/freebsd/attachments/20020827/9fadf8ee/attachment.bin>
Mais detalhes sobre a lista de discussão freebsd