Limitar conexões

[Sarah Milani]

Bom dia a todos,

Nesses ultimos dias, percebi que foram geradas mais de mil conexões
com tentativa de autenticação no meu ftp server geradas apartir de uma
mesma origem para um unico destino. Como posso criar uma regra para
limitar o numero de conexões na porta 21 para um determinado destino?
Existe alguma opção para especificar um valor max de conexão em
determinada porta e destino?

Desde já, agradeço

Atenciosamente,

Sarah Milani

"Tú te tornas eternamente responsável por aquilo que clicas"

[CleBeer]

Ola Sarah,

você pode criar uma regra com as opções "count" e "seconds" para limitar em X conexões pode segundos exemplo:

alert tcp [IP do atacante] any -> $HOME_NET 21 (msg:"FTP Brute Force INBOUND"; flags: S; flowbits: set,ftp.brute.attempt; threshold: type threshold, track by_src, count 7, seconds 60; classtype: attempted-recon;)

Neste exemplo estou limitando a 7 conexões em 60 segundo. Veja qual melhor configuração de aplica ao seu ambiente.

2011/9/22 Sarah Milani <sarah....@gmail.com>

--
Você recebeu esta mensagem porque está inscrito no Grupo "Snort Brasil"
nos Grupos do Google.
Para postar neste grupo, envie um e-mail para
snort-...@googlegroups.com
Para cancelar a sua inscrição neste grupo, envie um e-mail para
snort-brasil...@googlegroups.com

Acesse nosso site: http://www.snort.org.br

--
-----------------------------
Cleber S. Brandão
Mob. +55 011 9333-9429

clebeerpub.blogspot.com
www.snort.org.br
  ,, _   
 o"    )~   
   '' ''
http://www.linkedin.com/in/clebeer
-----------------------------------

[Sarah Milani]

Obrigada Cleber, já me ajudou bastante...vou testar aqui ;)

Aproveito a oportunidade p/ tirar mais uma duvida, existe a possibilidade de configurar o snort em modo inline atuando junto com o PF do OpenBSD?


Atenciosamente,
Sarah Milani

[CleBeer]

Oi Sarah tem sim...

basta buildar o daq com o pf que o snort ja suporta.

2011/9/22 Sarah Milani <sarah....@gmail.com>