я тебе этот ip и без суперсистемы продиктую, записывай: 0.0.0.0/0
А если твоя система работает для каких-то там людей, и в их наличии ты каким-то образом заинтересован (неважно, for fun, или тебе зарплату платят) - то обломись бабка, мы на корабле.> Вся засада этих систем как раз в отстуствии готовых сигнатур, списков, правил. Все это стоит
> денег.
внезапно, не только это. Хорошие системы ips стоят оооочень хороших денег еще и отдельно от подписок. Иногда базовая подписка вообще к ним бесплатна, приложением к плате за обслуживание. И вот оно-то оказывается нужно.
139.208.0.0/13, конечно, можешь без всякого снорта заблочить. Или не можешь, если у тебя есть клиенты в Китае.
А остальной мой свежий урожай за вчера вот так выглядит:
4 208 dynamicip-37-113-188-76.pppoe.chel.ertelecom.ru
8 512 212.46.18.0/24
2 104 host-91-105-184-125.bbcustomer.zsttk.net
3 156 net-31-132-211-144.king-online.ru
97 4928 ip.178-69-40-160.avangarddsl.ru
2 104 pppoe.178-65-167-56.dynamic.avangarddsl.ru
5 256 46.164.243.125
345 20700 46.164.192.0/18
6 312 128-75-131-47.broadband.corbina.ru
6 304 95-55-37-53.dynamic.avangarddsl.ru
вот это - по сумме параметров, точно не люди (а если люди - то плохие п-сы). Но адреса эти блокировать не просто бесполезно, а откровенно вредно. Как только ты его заблокируешь, он дернет свой adsl, и к тебе придет с другого адреса, а этот достанется, вполне возможно, как раз твоему пользователю. Наоборот - с ним надо дружить, сессию обязательно устанавливать, принимать по одному байту в час, не забывая про keepalive, чтоб он не свалил, другим гадить.
Поэтому - только IPS. Рвущий конкретную сессию, а не блочащий идиотски адрес. И не дающий мусору вообще дойти до адресата в большинстве случаев, а не вмешивающийся постфактум, когда уже и незачем.
При этом у него таки есть интерфейс и мониторинг, но показывают они при правильном подходе совсем другое - ситуацию, когда на тебя идет прицельная атака, и надо искать казачков засланных, или пароли менять.