web-dev-qa-db-ja.com

複数のIPブルートフォースログイン攻撃CentOS6

現在、私のWebサイトの1つが、ブルートフォースログインの試みの対象になっています。問題は、それが複数のIPソースから来ていることです。私は3回の試行後にIPを自動禁止するシステムを持っていますが、これまでに攻撃者は800の異なるIPを試行/禁止しました。彼が使用しているユーザー名/パスワードリストは、入ってくるとわかるのであまり心配していませんが、私の唯一の心配はシステムリソースだと思います。

この種のことにはまだ少し新しいので、他に選択肢があるかどうかはわかりません。この種の攻撃に対して他にできることはありますか?

サーバーはCentOS6を実行しています

2
JJd

私が理解しているように、攻撃はアプリケーション層(HTTP)でのみ検出できます。

このレイヤーでの検出とブロックには modsecurity を使用することをお勧めします。また、動的ブロックの生成、リクエストのブロック、外部コマンドの実行(iptablesへのルールの追加)などを行うことができます。

Modsecurityは、ブロッキングに関して検出するための最も効果的なソリューションになります。ファイアウォールでリクエストをブロックする必要があります。

Fail2banでリクエストをブロックするものもありますが、私の個人的な観点からは効果がありません。

3
GioMac

攻撃がブルートフォースではなくDDoSであるという割合で攻撃が開始された場合、ファイアウォールでIPの範囲をブロックし始めます。

DDoS攻撃の問題は、DDoS攻撃についてはそれほど多くのことはできないが、広範囲のIPのフィルタリングを開始することです(私が知っていることです)。このような攻撃の主な問題は、ソースが「普通の」人々からハッキングされたコンピューターであることが多いことだと思います。トリッキーなフィルタリング状況になります。

IRCコミュニティから来て、子供たちが攻撃している間、私たちはしばしばいくつかのサーバーでネットワークケーブルを引っ張らなければなりませんでした。

PS:数年前に私はこれに対処しなければなりませんでした、そして多分最近DDoS攻撃を跳ね返すより賢い方法があるでしょう。 :-)

0
Qben