SNORT ALERT -> konfiguracja black_list_ip na podstawie alertu z podanym adresem IP atakującego.

Question

Witam,

Posiadam serwer UBUNTU 16.04 z postawionym na nim SNORTEM.

Server atakuje z maszyny KALI LINUX.

SNORT (na serwerze) wyświetla mi alerty o próbie ataku i przejęcia "Administrator Privilidge Gain" wraz z adresem IP atakującego.

Czy znacie może jakieś "wtyczki" do snorta bądz inne oprogramowanie, które pozwoli mi na wrzucenie IP atakującego pobranego z alertu/loga ze snorta i unimożliwi atak z jego strony?

Answer 1

Jest coś takiego ale za cholerę nie mogę sobie przypomnieć nazwy :)

Ogólnie możesz wyłapane w logach IP wrzucić do pliku blacklist i blokować je firewallem.

Comments

Dzięki za odpowiedź, właśnie taki mam zamair. Chciałem jednak ten proces(IP z alerta -> wrzucenie na blacklist) zautomatyzować. Manualne wklepywanie IP do blacklisty niestety w moim wypadku jest średnim rozwiązaniem, bo muszę nastawić się na kilkadziesiąt ataków na godzine.

---

Skorzystaj z BASH i komendy SED. SED jest świetny, nie twierdzę że nie ma innych rozwiązań, ale warto go z pewnością poznać.

---

Chętnie na niego zerknę. Dzięki :)