Блог

Правило snort от брутфорса FTP

ZeroShell 19.10.2021 09:37 137

За последние несколько месяцев я получил много обращений к моему ftp-серверу. IPS и IDS также установлены, но они не блокируют IP, поэтому я начал писать для себя правило в snort и закончил этим правилом:

alert tcp $HOME_NET 21 -> $EXTERNAL_NET any (msg:"ET SCAN Potential FTP Brute-Force attempt"; flow:from_server,established; content:"530 "; pcre:"/530\s+(Login|User|Failed|Not)/smi"; classtype:unsuccessful-user; threshold: type threshold, track by_dst, count 1, seconds 30; sid:2002383; rev:10; fwsam: dst, 24 hours

24 hours - это блокировка на 24 часа.
seconds 30 - время попыток в секунду.
 


добавлено в local.rules.

В документации, которую я прочитал, это правило должно работать, но snortsam не блокирует ip. я брутфорс с общедоступного ip, и я даже попытался перезапустить snort и snortsam ..
но правило не работает и один способен выдерживать грубую атаку ...
может ли кто-нибудь помочь мне заставить это правило работать.

Средний рейтинг 0

linuxsnort

Комментарии:

Здесь нет комментариев.
Здесь пока нет ни одного комментария, вы можете стать первым!

16+ Сайт может содержать контент, не предназначенный для лиц младше 16 лет