Overlord23 10 Geschrieben 27. August 2009 Melden Teilen Geschrieben 27. August 2009 Hi ich suche ein Tool für / gegen IDS. Also das mir aufzeigt welche IP meine Websites vollspammt mit aufrufen und das ich auch gleichzeit Rules o.ä einrichten kann das die IP dann geblockt wird. System ist ein W2K3 Server. Webseites liegen somit im IIS. Gibts denn sowas? Eine eigene Firewall dafür möchte ich erst nochmal aussen vor lassen. Ich habe folgende Tools probiert welche mir aber entweder nicht geholfen haben oder nicht das können was ich brauch: - Capture-HPC - High Interaction Client Honeypot - HackDetect (is anscheinend nur für FTP möglich) - BitDefender - Snort (wobei ich da noch am durchackern der Anleitung bin) Danke euch schon mal Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 27. August 2009 Melden Teilen Geschrieben 27. August 2009 Hi, da gibt es eine ganze Menge Lösungen. Fragen wir mal so: Über welche Größenordnung sprechen wir hier (Anzahl zu schützender Systeme, zu erwartender Datendurchsatz auf diesen Systemen, OS etc.) und wie hoch ist das finanzielle Budget? Oder geht es nur um das 2003er IIS System? Was genau meinst Du mit "Websites vollspammen"? Solche "inhaltlichen Angriffe" sollte im Normalfall ja auf Applikationsebene geblockt werden und muß nicht unbedingt durch vorgeschaltete Filter laufen. Je nach Design der Umgebung ist natürlich auch beides möglich (Vorfilterung oder Applikationsfilterung oder bestenfalls beides). Viele Grüße olc Zitieren Link zu diesem Kommentar
Overlord23 10 Geschrieben 28. August 2009 Autor Melden Teilen Geschrieben 28. August 2009 Es geht eigentlich nur um ein System was der Kunde gern "überwacht - geschützt" hätte. Es war eben so das eine Art DOS Attacke auf die Website gemacht wurde (zig Anfragen / sekunde auf die URL) und der Server somit ausgebremst wurde. Und das soll eben verhindert werden das wenn zB die IP xy soundsoviel mal die URL der Website aufruft einfach geblockt wird für eine Zeit X. Zitieren Link zu diesem Kommentar
Necron 71 Geschrieben 28. August 2009 Melden Teilen Geschrieben 28. August 2009 Hi, dann brauchst du aber neben dem IDS auch ein IPS, dass entsprechend mit einer Aktion auf den entdeckten Angriff reagiert. Snort ist da schon einmal ein gutes System, was beides vereint.;) Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 28. August 2009 Melden Teilen Geschrieben 28. August 2009 Hi, rein vom "normalen" aufbau her setzt man diese Systeme vor den zu schützenden Server um im Falle eines Angriffs nicht noch mehr Resourcen zu verbrennen (die Untersuchung des Datenverkehrs etc. kostet auch nicht gerade wenig power). Wenn ihr den Webserver bei einem Hoster stehen habt, dann würde ich an deiner Stelle ggf. mal dort nachfragen. Oft bieten diese (gegen Aufpreis) entsprechende Basisdienste über die vorhandene FW - Infrastruktur an. Viele Grüße Zitieren Link zu diesem Kommentar
solinske 10 Geschrieben 30. August 2009 Melden Teilen Geschrieben 30. August 2009 Such mal bei einen Suchanbiter deines Vertraune nach WAF Web Application Firewall. Ich kenne leider keine Lösung die unter dem segment Enterprise ansetzt aber da gibt es sicher auch einiges. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.