総当たり攻撃を受けています。どうすればよいですか
メールサーバー、IMAP、POP3にブルートフォース攻撃を受けています。 ASLの完全なパッケージをインストールしていますが、OSSECログが送信されるだけです。 IPを禁止するにはどうすればよいですか。
何度か間違った試みをした後、ASLはこれらの攻撃を自動的にブロックすると思いました。どうやってやるの。
カーネルが最近のiptablesをサポートしている場合(ほとんどはサポートしています)、次のようなものは60秒で6つの接続を許可し、そのIPアドレスからの接続をドロップします。さまざまなIPをブロックするための大量のルールを作成するのではなく、それを行うことができます。
iptables -I INPUT -p tcp --dport imap -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport imap -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 6 -j DROP
iptables -I INPUT -p tcp --dport pop3 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport pop3 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 6 -j DROP
または、IPが1つだけの場合:
iptables -I INPUT -s 1.2.3.4/32 -j DROP
そのIPの迅速で汚いドロップを行う必要があります
OSSECを機能させるには、OSSECでアクティブな応答を有効にする必要があります。 ossec.confをチェックして、そこで有効になっているかどうかを確認します。
Iptablesソリューションの問題は、アプリケーションの知識がないため、正常なログインがブロックされる可能性があることです。