Я админ небольшой сети. Пользователи в нашей сети имеют доступ к Интернету через NAT-сервер squid.
Недавно мы обнаружили, что некоторые пользователи используют LOIC для атак на серверы в Интернете. Как я могу автоматически обнаружить и заблокировать такого злоумышленника?
Есть ли какой-нибудь простой способ для этого (например, заблокировать определенный порт или шаблон?) Или мне нужно использовать интеллектуальное программное обеспечение, которое обнаруживает неправильное поведение наших пользователей и блокирует их?
Нам достаточно временной блокировки по IP.
Комментарий mailq не столько анархист, сколько правильный ответ в большинстве случаев.
Если пользователи используют корпоративные (или школьные и т. Д.) Ресурсы для совершения незаконных действий (независимо от того, осуществляется ли это в Интернете или нет), необходимо принять соответствующие меры, чтобы сообщить им, что это совершенно неприемлемо.
Никто не должен быть анонимным в вашей сети, вы сможете легко отследить его до определенного компьютера (аренда DHCP) и, скорее всего, до конкретного пользователя.
Учитывая все это, Блог Spiderlabs есть статья о правилах snort для обнаружения активности LOIC. Внедрение snort может быть вашим лучшим вариантом, если вы действительно не можете решить проблему с помощью обучения или LART.
Комментарий Бена вызывает целую банку червей. Рассматривать: