web-dev-qa-db-ja.com

これらすべてのブルートフォース攻撃に対抗するにはどうすればよいですか?

私は3つの専用サーバーを持っており、すべてカナダに物理的に配置されているCentOSを実行しています。

最新のサーバーで、cPHulkは失敗したログイン試行の検出(およびブラックリストへの登録)を開始しました。サーバーがオンラインになった日から始まりました。それ以来、cPHulkから毎日15〜30通のメールが届き、「ログインに失敗した回数が多い」ことを知らせています。

すべての試みが中国からのものであることに気づいたので、csfをインストールして、中国を完全にブロックしました。数日後、攻撃は戻ってきましたが、さまざまな国からのものでした。これまでのところ、私は絶望から4か国をブロックしましたが、それが正当な解決策ではないことを私は知っています。現在、それらの国からの合法的なトラフィックが期待できるため、ブロックする余裕のない国から来ています。

次のスクリーンショットのように、国に関連付けられていないように見えるIPからの攻撃も受けています。

http://i.imgur.com/LN6qmfK.png

私が使用しているパスワードは非常に強力なので、彼らがパスワードを推測できるのではないかと心配していません。

だから私の質問は、なぜ彼らは私のサーバーをターゲットにしていて、どうやってそれをそんなに早く見つけたのですか?国全体をブロックせずにこれらのログイン試行を軽減するにはどうすればいいですか?そしてスクリーンショットのどこからそのIPがありますか?私のどういうわけか私にはひどい評判のIPが割り当てられていると思いますが、サーバー管理者の経験と知識は少し限られているので、その妥当性すらわかりません。

5

Michael Hamptonが言ったように、彼ら[TM]はこれをすべての人に行います。彼らのスクリプトは、ポートをリッスンしているIPアドレスを検出し、ユーザー名とパスワードをスローして、何かが動かないかどうかを確認しています。 This はライブ攻撃のマップです。

電子メールが気になる場合は、代わりに、許可されたログインIPをホワイトリストに登録し、ホワイトリストにないサイトから誰かがログインしたときに電子メールで通知することができます。

スクリーンショットのIPについては、 .42.0.

アドレス0.0.0.0は、コンピュータが使用するIPアドレスを学習しているときに、発信パケットのアドレスとしてのみ使用できます。宛先アドレスとして使用されることはありません。 「0」で始まるアドレス。直接接続されたデバイスへのブロードキャストに使用されることがあります。

「0」で始まるアドレスが表示された場合。ログでは、おそらくネットワークで使用されています。ネットワークは、ホームゲートウェイに接続されているコンピューターと同じくらい小さい場合があります。

このブロックは、インターネットプロトコルを開発する組織であるIETFによって、標準ドキュメントRFC 1122で割り当てられ、さらに、Best CurrentPracticeドキュメントRFC6890でドキュメント化されています。IANAは、このネットワークが単一の組織に割り当てられていません。

これらのドキュメントは次の場所にあります: http://datatracker.ietf.org/doc/rfc1122http://datatracker.ietf.org/doc/rfc689

9

誰もそれを提起しなかったことに驚いていますが、これらの非常に一般的なブルートフォース攻撃から抜け出すための抜本的な方法は、 knockd のようなポートノッキングデーモンを設定することです。したがって、攻撃者が特定のポートシーケンスを使用してマシンを正しい順序でスキャンしない限り、SSHポートが開いていることすら検出されません。正当なユーザーの場合、多くのSSHクライアントがこれをサポートしており、sshサーバーに接続する前に正しいポートシーケンスをトリガーできます。

しかし、明らかに、実行中のfail2ban刑務所と適切な検索および禁止時間による重要な認証は、ほとんどすべての場合に十分です。

3
Xavier Lucas