http://www.lac.inpe.br/security/honeynet/tools/sessionlimit-0.3.README の『2. What's sessionlimit?』だけ勝手超訳してみたり。

2. What's sessionlimit?

Basically sessionlimit is a tool designed to interact with OpenBSD
pf in order to contain the intruders activities after a compromise
of a honeypot. It can detect when a scan or DoS is initiated from
a honeypot -- once the activity is detected a rule is inserted in
pf to block the outgoing traffic. This rule is removed after some
time.

It is important to note that the original intruder's incoming
session is not affected by the new rule. This means that the
intruder can still interact with the honeupot, but any new outgoing
connection he tries to intiate will be blocked.

2. sessionlimit とは？

　簡単に言えば、OpenBSDのpfと組み合わせて、攻撃者がハニポに侵入した後に行う様々な活動（訳注：ハニポを踏み台にしてさらに外部を攻撃したりとかとかとか）を抑え込むことができるツールです。sessionlimitを使えば“踏まれた”ハニポから外部に向けて打たれるスキャンやDoSを検知し、こういった（訳注：ハニポから見て）外向きのトラフィックを block するルールを動的に差し込むことが可能です。しばらくするとこのルールは（訳注：同じく動的に）削除されます。

　重要なのは、元々の攻撃者の通信（訳注：なり、既に攻略済みのハニポに今日も立ち寄りに来た通信なり、とにかく攻撃者からハニポに向かう“内向き”の通信）は、その“新しく挿入されるルール”に何ら影響を受けないということです。つまり、攻撃者がハニポをいじりに来た通信は維持されつつ、新たな“外向き”の通信を始めようとしてもブロックされてしまうのです。

私は pf 以外のパケットフィルタはよく知らないというかまともにドキュメントも読んだことがないのですが、さらっと読む限りすんごく上手い pf の使い方だなぁと思いました。今後に期待大。


以上、ネタ元は セキュリティホール memo