Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
Suche: ssh DoS tool, das IPs in die host.deny einträgt
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German)
View previous topic :: View next topic  
Author Message
schrippe
Guru
Guru


Joined: 03 Mar 2004
Posts: 556
Location: Mülheim

PostPosted: Wed Dec 01, 2004 10:44 am    Post subject: Suche: ssh DoS tool, das IPs in die host.deny einträgt Reply with quote

also:

ich suche ein tool, das bei angriffen/portscanns die IP sofort in die /etc/host.deny einträgt.

wenn also jemand versucht, ab Port 1 meine IP zu scannen, seine IP gesperrt wird.
Vielleicht sogar mit Ageing Algo., so daß die IP nicht auf ewig gesperrt wird.

thx
_________________
for i in $(seq 1 565); do echo 'A$i: entweder rechts fahren oder rechts überholen dürfen!';done
Back to top
View user's profile Send private message
derFrank
n00b
n00b


Joined: 01 Jan 2004
Posts: 71
Location: Cologne/Germany

PostPosted: Wed Dec 01, 2004 1:17 pm    Post subject: Reply with quote

vielleicht hilft dir ja portsentry weiter, erkennt portscans und kann ggf die IP in hosts.deny eintagen...


hth Frank
Back to top
View user's profile Send private message
tobidope
n00b
n00b


Joined: 17 Aug 2003
Posts: 24
Location: Germany

PostPosted: Wed Dec 01, 2004 1:24 pm    Post subject: Reply with quote

Das ist eine super Idee um sich grandios in den Fuß zu schießen.
Code:

# nmap -sS -F -D <deine IP>, ME


Ich würde das sein lassen.
Back to top
View user's profile Send private message
derFrank
n00b
n00b


Joined: 01 Jan 2004
Posts: 71
Location: Cologne/Germany

PostPosted: Wed Dec 01, 2004 1:59 pm    Post subject: Reply with quote

..kannte die -D Option von nmap bis dato nicht, wieder was gelernt.

Also kann ich mit so einem decoy-Angriff die hosts.deny des Zielrechners "zumüllen" damit er sich praktisch selber aus dem Internet aussperrt?

D.h. ich kann zwar über portsentry.ignore verhindern das ich meine eigene IP in die hosts.deny Eintrage und evtl auch andere IPs vor der Aussperrung bewahren, allerdings wird das natürlich auf dauer völlig sinnlos sein.

Falls ich das jetzt so richtig verstanden hab, ist es wohl am geschicktesten diesen Automatismus zu Unterbinden und im Falle eines von Portsentry entdeckten Portscans andere Aktionen auszuführen und nicht gleich zu blocken, was allerdings eine Zeitverzögerung bei der Reaktion auf einen potentiellen Angriff zur Folge hat?
Back to top
View user's profile Send private message
ruth
Retired Dev
Retired Dev


Joined: 07 Sep 2003
Posts: 640
Location: M / AN / BY / GER

PostPosted: Wed Dec 01, 2004 3:55 pm    Post subject: Reply with quote

hi,
bzgl portsentry und konsorten:
z.b. hier:
http://www.rootforum.de/forum/viewtopic.php?t=18945&highlight=portsentry
Quote:

Es geht hier nicht darum, ob ein Portscan "erforlgreich" ist, sondern darum, dass man die Kiste durch die freundliche "Hilfe" des Admins fast komplett von der Außenwelt abschneiden kann.

...und CaptainCrunch hat ahnung... ;)
gruss
ruth
_________________
"The compiler has tried twice to abort and cannot do so; therefore, compilation will now terminate."
-- IBM PL/I (F) error manual
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum