Регистрация...

Почтовый сервер Eserv // EservIDS

oldwiki // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Новости
15.05.2012
Eserv504
15.05.2012
ActiveSync
01.04.2012
Eproxy508
25.03.2012
Eserv503
26.02.2012
Eserv502
08.02.2012
UMI.CMS
22.12.2011
Eserv431
20.12.2011
Eproxy507
15.11.2011
Eproxy506
19.09.2011
Eproxy505
08.09.2011
Eserv430
06.09.2011
Lightning
19.07.2011
PoweredBy
16.07.2011
IPv6
08.07.2011
Eproxy5beta1
17.06.2011
IPv6DNS
13.06.2011
IPv6Mail
21.03.2011
Eserv428
22.10.2010
Eserv426
22.10.2010
SSL
22.04.2010
Eserv423
20.04.2010
Eserv4WhatsNew
19.04.2010
EservLDAP
19.04.2010
EservDHCP
19.04.2010
EservRubricator
08.04.2010
EservDNS
08.04.2010
NSСI
08.04.2010
WPAD
27.03.2010
Eserv422
27.03.2010
Eserv4Docs
26.03.2010
Eserv4FAQ
21.03.2010
EservIrc
05.03.2010
Eserv421
05.03.2010
HttpProxy
02.03.2010
EservVideo
02.12.2009
Eserv4Wiki
02.12.2009
Eserv4acWEB
02.12.2009
PopPull
22.11.2009
PigMailPigProxy2/WhatsNew
22.11.2009
PigMail/WhatsNew
22.09.2009
FossilEservHowTo
22.09.2009
SourceCodeManagement
22.09.2009
FossilScm
16.09.2009
SendEmail
08.09.2009
RoundCube
07.05.2009
GitScm
07.05.2009
GitEservHowTo
06.05.2009
SunBird
06.05.2009
WebDav
20.04.2009
Etelnet

Eserv IDS — система обнаружения и блокировки сетевых атак

Eserv IDS — компонент EservFireWall, занимающийся выявлением "подозрительных" сетевых клиентов и автоматической блокировкой запросов с этих IP-адресов. Блокировка может быть простейшей — немедленное закрытие TCP-соединения, иницированного с атакующего IP-адреса (без запуска потока его обработки). Либо более жесткой — блокировка всего трафика, исходящего от атакующих IP, на уровне пакетного фильтра в EservFireWall.

Универсальным для всех серверов (независимым от протокола) способом выявления атакующих IP является только один: посчет частоты соединений с этого IP и сравнение с заданным пороговым значением. Причем это и единственный тип атак, который не является эксплуатацией какой-то конкретной уязвимости (ошибки) в конкретном серверном ПО, а направлен на создание ситуации перегрузки атакуемого сервера запросами и невозможности обслуживания им обычных клиентов — DoS, "denial of service", "отказ в обслуживании". Таким образом простой установкой исправленной версии серверного ПО, как было с используемой вирусами уязвимостью RPC в Windows, с такой ситуацией не справиться. При DDoS-атаке серверу остается только распознать атакующий IP и стараться как можно меньше компьютерных ресурсов тратить на обработку обращений с этого IP, чтобы "нормальные" клиенты могли продолжать работать с сервером. Это достигается установкой блокировок на IP-адреса, входящие в такой динамически формируемый "черный список". В идеале такие блокировки должны останавливать "вражеские" пакеты на дальних подступах к атакуемому серверу (чтобы не перезагрузить его каналы связи). Но в реальной жизни чужие роутеры обычно неподвластны администратору атакуемого сервера, и ему остается держать оборону своими силами. При включенном Eserv IDS серверы из комплекта Eserv/3 могут просто стараться "не обращать внимания" на запросы от атакующих IP в течение заданного времени с момента обнаружения факта атаки.

При простейшей блокировке (закрытии соединения) атакующая программа не сможет посылать команды протокола — сразу получит код ошибки 10054 "соединение разорвано" при попытках чтения/записи в сокет. При блокировке в EservFireWall атакующая программа вообще не сможет больше устанавливать соединения с Eserv — будет получать код ошибки 10060 "таймаут" при попытке подключения.

См. также Snort — Snort IDS.

 
Комментарии к этой версии (19.03.2004 19:09) [~AndreyCherezov]
Работает на Eserv/5.05555 (05.06.2016)