Suche: ssh DoS tool, das IPs in die host.deny einträgt

schrippe · Guru Joined: 03 Mar 2004 Posts: 556 Location: Mülheim

also:

ich suche ein tool, das bei angriffen/portscanns die IP sofort in die /etc/host.deny einträgt.

wenn also jemand versucht, ab Port 1 meine IP zu scannen, seine IP gesperrt wird.
Vielleicht sogar mit Ageing Algo., so daß die IP nicht auf ewig gesperrt wird.

thx
_________________
for i in $(seq 1 565); do echo 'A$i: entweder rechts fahren oder rechts überholen dürfen!';done

derFrank · Posted: Wed Dec 01, 2004 1:17 pm Post subject:

vielleicht hilft dir ja portsentry weiter, erkennt portscans und kann ggf die IP in hosts.deny eintagen...

hth Frank

tobidope · n00b Joined: 17 Aug 2003 Posts: 24 Location: Germany

Das ist eine super Idee um sich grandios in den Fuß zu schießen.

derFrank · Posted: Wed Dec 01, 2004 1:59 pm Post subject:

..kannte die -D Option von nmap bis dato nicht, wieder was gelernt.

Also kann ich mit so einem decoy-Angriff die hosts.deny des Zielrechners "zumüllen" damit er sich praktisch selber aus dem Internet aussperrt?

D.h. ich kann zwar über portsentry.ignore verhindern das ich meine eigene IP in die hosts.deny Eintrage und evtl auch andere IPs vor der Aussperrung bewahren, allerdings wird das natürlich auf dauer völlig sinnlos sein.

Falls ich das jetzt so richtig verstanden hab, ist es wohl am geschicktesten diesen Automatismus zu Unterbinden und im Falle eines von Portsentry entdeckten Portscans andere Aktionen auszuführen und nicht gleich zu blocken, was allerdings eine Zeitverzögerung bei der Reaktion auf einen potentiellen Angriff zur Folge hat?

ruth · Posted: Wed Dec 01, 2004 3:55 pm Post subject:

hi,
bzgl portsentry und konsorten:
z.b. hier:
http://www.rootforum.de/forum/viewtopic.php?t=18945&highlight=portsentry