حالت موضوعي | حالت خطي

jaykob · 2011-05-08, 03:06 PM,

سلام

به چه می شه بر روی سرور از brute force شدن جلوگیری کرد سرور های زیادی را دیدم که مثلا با نرم افزارهایی مثل acunetix اسکن می شوند بعد از یک الی دو دقیقه ip را ban می کند و یا مثلا ftp را brute force می کنیم به همین شکل جلوگیری می کند

با تشکر

tolstoy · 2011-05-09, 06:35 AM,

راه های مختلفی هست. مثلا شما می تونید از ابزار fail2ban استفاده کنید. این نرم افزار از روی log های سیستم bruteforce را تشخیص می ده
و با کمک iptables آی پی مورد نظر را می بنده ودر مدت زمان مشخصی هم دوباره آن را باز می کنه.

**Navid** · 2011-05-09, 07:31 PM,

fail2ban واقعا عالیه، همه کار می‌تونه بکنه. (ویرجواللی همه کار) به خصوص اگر وقت بگذاری و رول‌هارو بنویسی یا کمی پایتون بلد باشی (یا بش یا پرل)
کمی هم بستگی به سرویسی داره که می‌خواهی جلوی بروت فرس رو بگیری، اگر بگی که دنبال جلوگیری برای چه سرویسی هستی راحت‌تر می‌شه کمک کرد یا ایده داد.

jaykob · 2011-05-15, 12:40 PM,

با تشکر از دوستان

به طور کلی من می خوام جلوی brute force شدن سرویس هایی مثل FTP و SSH و کلا بحث اسکن کردن وب اپلیکیشن ها هست که بعد از شروع شدن اسکن و چند ثانیه مانع دسترسی فرد می شود .

احساس می کنم این نرم افزاری که شما فرمودید برای جلوگیری از DOS هم بشه استفاده کرد یا باید از ابزار های دیگه ای استفاده کرد .

ممنون

**emilsedgh** · 2011-05-15, 02:43 PM,

از fail2ban میشه برای جلوگیری از نوع خاصی از داس اتک‌ها که در اون سرویس‌گیرنده درخواست اشتباه و یا ناقص می‌فرسته استفاده کرد.
اما برای داس اتک‌های معمولی نمی‌دونم به درد می‌خوره یا نه.

**Navid** · 2011-05-15, 03:26 PM,

jaykob نویسنده :با تشکر از دوستان

به طور کلی من می خوام جلوی brute force شدن سرویس هایی مثل FTP و SSH و کلا بحث اسکن کردن وب اپلیکیشن ها هست که بعد از شروع شدن اسکن و چند ثانیه مانع دسترسی فرد می شود .

احساس می کنم این نرم افزاری که شما فرمودید برای جلوگیری از DOS هم بشه استفاده کرد یا باید از ابزار های دیگه ای استفاده کرد .

ممنون

برای FTP و SSHمی‌تونید از fail2banاستفاده کنید که رول‌هاش رو مشخص کنید و بگید بعد از این مقدار error یا Failure توی هر کدوم از این log fileها مثلا توی فایروال اون آدرس آی‌پی رو ban کنه یا این که مثلا کاربر رو توی ftp سرور غیر فعال کنه یا بهتون ایمیل بزنه یا snmp trap بفرسته و یکی یه کاری بکنه Smile

برای جلوگیری از DOSپیشنهاد می‌کنم از یه IPS یاIDSاستفاده کنید، defacto همانا snort هست اما AIDE هم ساده‌تر هست هم این که مزایا و معایب خودش رو داره نسبت به snort.
<a class="postlink" href="http://aide.sourceforge.net">http://aide.sourceforge.net</a>
<a class="postlink" href="http://www.snort.org">http://www.snort.org</a>

اما این رو هم بهتره چک کنی: <a class="postlink" href="http://la-samhna.de/samhain/index.html">http://la-samhna.de/samhain/index.html</a>

ببین، اگر خودت بخوای ابزاری استفاده کنی، تنها ابزار خلاقیت هست، ابطارهای مختلف رو باید برداری و از هر کدوم قسما‌هایی که به کارت میاد رو استفاده کنی، هیچ ابزاری نیست که بگیم برای DDOS یا DoSیا Brute Forceمی‌شه برای تمام سرویس‌ها ازش استفاده کرد.

همچنین توی deamonهای خودت برای نمونه vsftpd یا isc bind یاapache httpd یا OpenSSH و ... تنظیمات مختلفی هست که می‌شه برای سرویس‌ها ست کنی تا حدالکثر مقاومت رو داشته باشه، همچنین برای این که Scannerها نتونند Scannکنند یا نتونند دائما connection establieshed باشند، می‌تونی توی سرویس‌ها signatureها رو خاموش کنی، بعد فایروال، بعد time outبرای کانکشن‌های هر سرویس، بعد یه IDSبرای detectکردن بعد یه IPSبرای preventation و حتی می‌ةونی از Scanner Poisioning استفاده کنی که طرف اسکن که می‌کنه اصلا FTP بگه من ویندوزم تا طرف سریع به جواب برسه و جواب اشتباه و اغلب ول می‌کنه می‌ره!! اما اگر سمج باشه دیگه با IDS یا IPS یاFail2Banو ... درگیر می‌شه!