複数のIPブルートフォースログイン攻撃CentOS6
現在、私のWebサイトの1つが、ブルートフォースログインの試みの対象になっています。問題は、それが複数のIPソースから来ていることです。私は3回の試行後にIPを自動禁止するシステムを持っていますが、これまでに攻撃者は800の異なるIPを試行/禁止しました。彼が使用しているユーザー名/パスワードリストは、入ってくるとわかるのであまり心配していませんが、私の唯一の心配はシステムリソースだと思います。
この種のことにはまだ少し新しいので、他に選択肢があるかどうかはわかりません。この種の攻撃に対して他にできることはありますか?
サーバーはCentOS6を実行しています
私が理解しているように、攻撃はアプリケーション層(HTTP)でのみ検出できます。
このレイヤーでの検出とブロックには modsecurity を使用することをお勧めします。また、動的ブロックの生成、リクエストのブロック、外部コマンドの実行(iptablesへのルールの追加)などを行うことができます。
Modsecurityは、ブロッキングに関して検出するための最も効果的なソリューションになります。ファイアウォールでリクエストをブロックする必要があります。
Fail2banでリクエストをブロックするものもありますが、私の個人的な観点からは効果がありません。
攻撃がブルートフォースではなくDDoSであるという割合で攻撃が開始された場合、ファイアウォールでIPの範囲をブロックし始めます。
DDoS攻撃の問題は、DDoS攻撃についてはそれほど多くのことはできないが、広範囲のIPのフィルタリングを開始することです(私が知っていることです)。このような攻撃の主な問題は、ソースが「普通の」人々からハッキングされたコンピューターであることが多いことだと思います。トリッキーなフィルタリング状況になります。
IRCコミュニティから来て、子供たちが攻撃している間、私たちはしばしばいくつかのサーバーでネットワークケーブルを引っ張らなければなりませんでした。
PS:数年前に私はこれに対処しなければなりませんでした、そして多分最近DDoS攻撃を跳ね返すより賢い方法があるでしょう。 :-)