Tak po delsi dobe pisu zase do tohoto vlakna.
Je snort dobra volba pro _detekci_ zakazniku, z jejichz domacich zarizeni se siri hlavne ruzne floody, ale i jiny bordel? Pokud bych uz musel snort instalovat, zrejme by byl pripojeny na mirroring port na switchi a s nadstavbou Snorby. Moc se mi to instalovat ale nechce. Leda by to bylo nutne nebo by to oproti tomu, co pisu dal prineslo i jine vyhody, napr. detekci jinych abnormalit prochazejicich siti nez ktere umi detekovat iptables.
Nestacil by jen server s IP tables (taky pripojeny na mirooring port), v promiskuitnim modu s IPtables pravidlem pro kazdou IP adresu s nastavenym "-m limit --limit 1/s --limit-burst 3" na nejake hodnoty? Jake vsechny sitove anomalie (slusne receno) vubec dokaze iptables detekovat? SYN floody a ICMP floody do logu oznacovat umi, to je jasne, ale co dal? Oznacovani tech anomalii logovanim do messages/syslog by mi stacilo.
PS: je nejak mozne, aby iptables logoval i zdrojovou MAC adresu paketu (v ramci L2 segmentu, samozrejme)?
Zkratka potrebuju s jistotou ukazat na zlobive kluky a holky na nasi siti a pri neuposlechnuti "doporuceni" odvirovani si svych PC atd. je automaticky zastrelit, dve davky :)
PPS: Pokud je iptables pravidlo, kde je nastavene napr. "-m limit --limit 1/s --limit-burst 3" pro SYN pakety napsane tak, ze je spolecne pro napr. subnet /24, muze v tom pripade dojit k falesne detekci SYN floodera? Rekneme, ze zlobivy SYN flooder flooduje, ale tesne pred tim, nez ho chyti iptables pravidlo prestane. Hned po jeho poslednim syn flood paketu ale pravidlem projde korektni SYN paket nekoho jineho/hodneho. Kdyby ten korektni/hodny SYN paket byl nadlimitni, byl by za zlobiveho flodera oznacen hodny kluk? (Pokud to mozne je, a predpokladam, ze je, tak je asi resenim mit prave asi jedno pravidlo na jednu IP adresu, coz si na GW nedam a musi to stejne bezet na vyhrazenem stroji.)
Pep.