我是一个小型网络的管理员。我们网络中的用户可以通过 squid NAT 服务器访问互联网。
最近,我们发现一些用户正在使用 LOIC 攻击互联网上的服务器。我该如何自动检测和阻止此类攻击者?
有没有直接的方法可以解决这个问题(例如,阻止特殊端口或模式?)或者我必须使用智能软件来检测用户的不当行为并阻止它们?
对于我们来说,暂时的基于 IP 的阻止就足够了。
答案1
mailq 的评论并不完全是无政府主义的,因为它是大多数情况下的正确答案。
如果用户利用公司(或学校等)资源进行非法活动(无论是否在互联网上),应采取适当措施让他们知道这是完全不可接受的。
您的网络上不应有人匿名,您应该能够轻松地将其追踪到特定计算机(DHCP 租约)并且很可能是特定用户。
考虑到这一切,Spiderlabs 博客有一篇关于 snort 规则检测 LOIC 活动的文章。如果您确实无法通过教育或 LART 解决问题,那么实施 snort 可能是您的最佳选择。
Ben 的评论又带来了另一堆麻烦。考虑一下:
- 如果发生非法活动,网络所有者是否会承担责任?
- 开放程度到底需要多高?你能只开放 HTTP/HTTPS 吗?你能限制速率吗?
- 在大型网络(例如医院)中,使用商业硬件 IDS/防火墙可能会更好。