[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]Gracias, pero algo que no menciones y ofrezco una disculpa, es que los puertos destino son aleatorios. A la par estoy utilizando Snort y ACID (Estoy en el medio de aprendizaje de utilizarlos) y ACID me dice que las ocurriencias de los ataques en cada puerto es de 1, solamente el puerto 80 es el que tiene 37000 eventos, de ahi en fuera los demás puertos tendran 1, 2 o 3 ocurriencias, el unico puerto que esta por debajo de las 37000 eventos del 80 es el puerto 1080 con 26 eventos. Entonces quiero apoyarme de la experiencia que exista en la lista sobre la existencia de mayor documentación sobre el uso de un IDS, ademas de la que Snort tiene, he buscado con google, pero solo me encuentro guias de instalación y operación básica, y lo que necesito es documentación que ya me enseñe a interpretar la información que ACID me esta entregando. Probablemente alguna técnica para usar en Squid o Iptables para limitar paquetes con cierto comportamiento (tamaños, informacion contenida), en fin a unir el IDS con el Firewall. --- Raúl_Mario_Santos_Alvarez <raul_mario en sonrye net> escribió: > bloquea los puertos a los que está enviando las > peticiones, si estas utilizando proxy tranparente > puede utilizar algo como esto > > /sbin/iptables -t nat -A PREROUTING -p tcp --dport > 1349 -j DROP > /sbin/iptables -t nat -A PREROUTING -p udp --dport > 1349 -j DROP > /sbin/iptables -t nat -A PREROUTING -i eth0 -j block > > esto bloquea el puerto 1349 de las peticiones de tus > clientes, esto es suponiendo que la interface local > es eth0 si es otra cambialo en la ultima linea > > Saludos y espero te ayude > > P.D. Si te sirvió por favor avisame, si no para > buscar otra forma > > > Alonso Tellez dijo: > > Buen día lista: > > > > Tengo un Squid ejecutando como Web Cache > > transparente, y en los últimos días hay momentos en > > que el servicio de cache se tumba, revisando el log > > encuentro muchas peticiones desde una maquina de mi > > lan hacia direcciones IP en internet, cuando lo > > normal es que desde una IP vea peticiones pero a > > nombres de dominio, ademas de que las peticiones > > son a muchas direcciones IP en un solo segundo (Eso > > no lo hace un humano) > > > > 1083273764.005 239853 12.34.56.78 TCP_MISS/504 1349 > > GET > > http://80.73.118.163/ - NONE/- text/html > > 1083273764.005 239853 12.34.56.78 TCP_MISS/504 1351 > > GET > > http://53.196.130.184/ - NONE/- text/html > > 1083273764.005 239853 12.34.56.78 TCP_MISS/504 1349 > > GET > > http://74.232.56.194/ - NONE/- text/html > > > > Aqui pongo 3 lineas de mi log con las peticiones > > que la maquina de la LAN (12.34.56.78) hace a > > muchas IP, solo muestro 3, de las 100 ip que > > solicita en el mismo tiempo (1083273764.005) > > > > Le he aplicado al Squid ACL contra Red Code, pero > > no se como atacar este gusano que hay en lan, > > alguien tiene alguna liga con mas información para > > bloquear, ya sea desde Squid o IPtables. > > > > Saludos, > > > > Alonso. > > > > _________________________________________________________ > > Do You Yahoo!? > > La mejor conexión a internet y 25MB extra a tu > > correo por $100 al mes. http://net.yahoo.com.mx -- > > Lista de soporte de LinuxPPP > > Dirección email: Linux en linuxppp com > > Dirección web: > > http://mail.linuxppp.com/mailman/listinfo/linux > > Reglas de la lista: http://linuxppp.net/reglas.html > > > -- > Raúl Mario Santos Alvarez > Webmaster www.sonrye.net > > > -- > Lista de soporte de LinuxPPP > Dirección email: Linux en linuxppp com > Dirección web: http://mail.linuxppp.com/mailman/listinfo/linux > Reglas de la lista: http://linuxppp.net/reglas.html ===== END ://Alonso Eusebio Téllez Román [ T.S.U. en Informática ] Pachuca, Hgo. México. http: [comming soon] #ICQ: 95047381 .: Your life is in my hands :. _________________________________________________________ Do You Yahoo!? La mejor conexión a internet y 25MB extra a tu correo por $100 al mes. http://net.yahoo.com.mx