On Thursday 25 November 2004 15:50, Andreas Burkhardt wrote:
gegeben sei der Fall (hach, klingt das schön), dass auf dem Rechner 10.20.30.41 'ssh' läuft. Ein Angreifer würde aber normalerweise einen Rechner nach dem anderen durchprobieren. Vorher also 10.20.30.40 oder 10.20.30.42 auf 'ssh' testen.
warum glaubst du dass die Reihenfolge sortiert ist? Portscans laufen auch unsortiert.
Man ahnt es schon, ich würde gerne diesen "Angriff" erkennen und noch schnell 'ssh' auf 10.20.30.41 für die entsprechende Quelle verbieten. Wobei nach einer gewissen Zeit die Quelle wieder erlaubt werden sollte.
ich halte das nicht für sinnvoll.
Gibt es da mittlerweise vielleicht was besseres. Vielleicht als neues "Target" für 'netfilter/iptables' oder so.
wie soll das gehen? Wenn SSH auf Rechner A angesprochen wird, schliesst sich der SSH Port auf Rechner B? Da kann man ja mit einfachem IP spoofing den Admin von seinen eigenen Rechnern abklemmen. -- ciao, Uwe Gansert Uwe Gansert, Server Technologies Team SUSE LINUX Products GmbH, Maxfeldstrasse 5, D-90409 Nürnberg, Germany e-mail: uwe.gansert@suse.de, Tel: +49-(0)911-74053-0, Fax: +49-(0)911-74053-476, Web: http://www.suse.de