このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

SWATCHのswatch_action.shの動作について このメッセージに返信する
日時: 2008/12/16 21:44
名前: まさる
URL:
まさると申します。

こちらのサイトを参考にSWATCHでのログ監視を導入し順調に動作しております。
http://centossrv.com/swatch.shtml

質問ですが、SWATCHでApache2のログを監視させ、Apache2のログに
同じIPから3回、" 206 "があればアクセスを24時間禁止に
するようにしましたが、FWでカットされるまでにタイムラグがでます。

たとえば206を同じIPが10回出すと3通メールが来てFWに同一IPが3個
拒否設定で追加されます。

swatch_action.shでFWに追加する前に既にFWに追加されているIPの場合
メールを送るだけとかにできませんでしょうか。

宜しくお願い致します。
記事編集 編集
Re: SWATCHのswatch_action.shの動作について このメッセージに返信する
日時: 2008/12/16 23:00
名前: ZED
URL:
throttle でもっと長い時間で設定すれば、無視すると思いますけど・・・

というか、snortで回避できるのでは?
記事編集 編集
Re: SWATCHのswatch_action.shの動作について このメッセージに返信する
日時: 2008/12/16 23:46
名前: まさる
URL:
ZEDさん

>throttle でもっと長い時間で設定すれば、無視すると思いますけど・・・

ありがとうございます。
これからはコマンドの意味をちゃんと調べて実装するようにしたいと思います。
記事編集 編集
Re: SWATCHのswatch_action.shの動作について このメッセージに返信する
日時: 2008/12/17 07:57
名前: まさる
URL:
throttleで長い時間に設定してもやはり重複で追加されますね^^;

これが限界なのかな・・・。
記事編集 編集
Re: SWATCHのswatch_action.shの動作について このメッセージに返信する
日時: 2008/12/17 08:07
名前: ZED
URL:
たぶん、SWATCHが追いつかないんだと思います。限界でしょうね。。
あとは、メールを送る際送信されてるかスクリプトを作れば良いんでしょうけど、
dos攻撃の最中、他の処理をさせれば、さらに重くなりますからね。

記事編集 編集
Re: SWATCHのswatch_action.shの動作について このメッセージに返信する
日時: 2008/12/17 16:25
名前: まさる
URL:
ZEDさん

返信ありがとうございます。
他のDoS対策用モジュールも探しつつ・・・
うまい方法があるか探して見ます^^

ありがとうございました。
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -