PFSENSE помогите настроить защиту от DOS DOSS Атак

dvserg

Попробуй это
Maximum state entries per host = 5

А кленты знакомые или нет? Может ввести белый лист?

l2grom

@dvserg:

Попробуй это
Maximum state entries per host = 5

А кленты знакомые или нет? Может ввести белый лист?

Клиенты не знакомы, и каждый раз новые прибывают.

Maximum state entries per host = 5
Maximum new connections = 1 / per second = 10 сек

{ хотя кажется Maximum state entries per host = 4}
Maximum new connections = 0 / per second = 0

fox

хм…. а что мешает поставить snort )))

zar0ku1

@fox:

хм…. а что мешает поставить snort )))

я за Cisco ASA

l2grom

@zar0ku1:

@fox:

хм…. а что мешает поставить snort )))

snort можно по подробней, что это и с чем кушается. Это пакет или какая софтина , железка..

zar0ku1

@l2grom:

snort можно по подробней, что это и с чем кушается. Это пакет или какая софтина , железка..

http://ru.wikipedia.org/wiki/Snort

l2grom

@zar0ku1:

@l2grom:

snort можно по подробней, что это и с чем кушается. Это пакет или какая софтина , железка..

http://ru.wikipedia.org/wiki/Snort

Спасибо друзья, осталось разобраться с правилами к примеру откуда и куда
ПРИМЕР
SID      Proto  Source  Port  Destination  Port                Message
      2010156  udp      any          any          $HOME_NET        27901              ET GAMES Alien Arena 7.30 Remote Code Execution Attempt

alert udp any any -> $HOME_NET 27901 (msg:"ET GAMES Alien Arena 7.30 Remote Code Execution Attempt"; content:"print|0A 5C|"; isdataat:257,relative; pcre:"/\x5C[^\x5C\x00]{257,}/"; classtype:misc-attack; reference:url,www.packetstormsecurity.org/0910-advisories/alienarena-exec.txt; reference:url,doc.emergingthreats.net/2010156; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/GAMES/GAMES_AlienArena; sid:2010156; rev:4;)

sid - ну это номер правила
Proto- протокол
Source - источник ( не понятно внутренний или внешний ?)
Port - порт ( не понятно внутренний или внешний ?)
Destination - назначение
Port  - порт ( не понятно внутренний или внешний ?)

Если кто-то разбирался, помогите с ориентироваться, пожалуйста

vardan

rebyata ya toje zapustil snort i u menya vot chto v logax

snort[40959]: FATAL ERROR: Failed to Lock PID File "/var/log/snort/run/snort_rl09877rl0.pid" for PID "40959"

:(

fox

**есть еще нюанс snort прожорливый к памяти минимум 512 **

fox

@zar0ku1:

@fox:

хм…. а что мешает поставить snort )))

я за Cisco ASA

ну здесь без комментариев )))  ;)

l2grom

Всем спасибо, SHORT ВПОЛНЕ СПРАВИЛСЯ С БОЛЬШИНСТВОМ DOS АТАК НА МАШИНУ.

DasTieRR

@l2grom:

Всем спасибо, SHORT ВПОЛНЕ СПРАВИЛСЯ С БОЛЬШИНСТВОМ DOS АТАК НА МАШИНУ И ПАРТЫ.

парты школьные?

fox

@DasTieRR:

@l2grom:

Всем спасибо, SHORT ВПОЛНЕ СПРАВИЛСЯ С БОЛЬШИНСТВОМ DOS АТАК НА МАШИНУ И ПАРТЫ.

парты школьные?

;D ;D

l2grom

@fox:

@DasTieRR:

@l2grom:

Всем спасибо, SHORT ВПОЛНЕ СПРАВИЛСЯ С БОЛЬШИНСТВОМ DOS АТАК НА МАШИНУ И ПАРТЫ.

парты школьные?

;D ;D

Да парты школьные,  как создать свою сигнатуру, у меня игровой сервер Lineage порты 2106 и 7777  , хотелось бы для них создать правила от ДОС ну и если возможна чит кода. )  Это возможна?

DasTieRR

от ддоса вам советы уже дали, pfsense больше ничего предложить не сможет (насколько я знаю), от читов - это скорее к серверной части линейки.

P.S. Если ддосят "на смерть", то либо железку (как выше писали), либо чистую фряху с кучей скриптов и анализаторов и т.п.

l2grom

@DasTieRR:

от ддоса вам советы уже дали, pfsense больше ничего предложить не сможет (насколько я знаю), от читов - это скорее к серверной части линейки.

P.S. Если ддосят "на смерть", то либо железку (как выше писали), либо чистую фряху с кучей скриптов и анализаторов и т.п.

Все же интересует максимальная информация по Short, раздел белые списки для всех IP или только для локальных. Кто-нибудь помогите разобраться с Short.

fox

ставил все по умолчанию, пока достаточно того что он сам все блокирует, что могу посоветовать так это сайт http://www.snortgroup.ru/