Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.

To: debian-user-french@lists.debian.org
Subject: Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.
From: Charles Plessy <plessy@debian.org>
Date: Sat, 29 Nov 2008 16:27:57 +0900
Message-id: <[🔎] 20081129072757.GD11134@kunpuu.plessy.org>
Mail-followup-to: debian-user-french@lists.debian.org
In-reply-to: <[🔎] ggqpp4$7lc$1@ger.gmane.org>
References: <[🔎] 20081129042255.GB11134@kunpuu.plessy.org> <[🔎] ggqpp4$7lc$1@ger.gmane.org>

Le Sat, Nov 29, 2008 at 08:08:19AM +0100, Francois Mescam a écrit :
> Je connais deux outils pour limiter les tentatives :
>
> - fail2ban : qui bloque pour une certaine durée une adresse IP suite à 5  
> (c'est paramétrable) tentatives infructueuses dans un temps maxi donné
>
> - knockd : qui permet d'ouvrir un port pour une IP donnée suite à une  
> séquence prédéterminée de tentatives sur différents ports

Bonjour François,

fail2ban ne fonctionnera pas puisque chaque IP n'est utilisée qu'une fois. Je
pense que l'attaque est piloté depuis un de ces réseaux de zombies
(« botnets »), où un maître, qui est certainement la machine parcourant le
dictionnaire, coordonne une nuée de machines-esclaves.

Je pense qu'au final je vais soit bouger le port soit utiliser knockd.

Merci pour la suggestion,

-- 
Charles

Reply to:

References:
- [HS] Attaque dictionnaire distribuée sur serveur ssh.
  - From: Charles Plessy <plessy@debian.org>
- Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.
  - From: Francois Mescam <gmane@mescam.org>

Prev by Date: Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.
Next by Date: Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.
Previous by thread: Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.
Next by thread: Re: [HS] Attaque dictionnaire distribuée sur serveur ssh.
Index(es):
- Date
- Thread