web-dev-qa-db-ja.com

内部IPブルートフォース攻撃をブロックする

これは、サーバーに対してブルートフォース攻撃を数日間行っている人です。毎回異なる外部IPアドレス(これまでのところ数百)を介して、しかし常に同じ方法でローカルIPアドレスを想定しています:192.168.2.33

質問は、使用されている外部IPアドレスに関係なく、その特定の内部IPアドレスでブロックするiptableルールを作成する方法はありますか?そのIPをCSFで直接ブロックしようとしましたが、役に立ちませんでした。

2014-08-07 11:44:05 dovecot_login authenticator failed for ([192.168.2.33]) [109.233.105.3]:54006: 535 Incorrect authentication data (set_id=david)
2014-08-07 11:44:15 dovecot_login authenticator failed for ([192.168.2.33]) [109.233.105.3]:54006: 535 Incorrect authentication data (set_id=david)
2014-08-07 11:44:32 dovecot_login authenticator failed for ([192.168.2.33]) [109.233.105.3]:54006: 535 Incorrect authentication data (set_id=david)
2014-08-07 15:52:11 dovecot_login authenticator failed for ([192.168.2.33]) [211.147.18.84]:64810: 535 Incorrect authentication data (set_id=josh)
2014-08-07 15:52:17 dovecot_login authenticator failed for ([192.168.2.33]) [211.147.18.84]:64810: 535 Incorrect authentication data (set_id=josh)
1
Ivan

私はまったく同じ問題を抱えていました。 Iptablesは良い考えですが、hosts。[allow | deny]を使用することもできます。これは少し簡単です。

特に厳密な例-ホワイトリストonly。最初にすべてを拒否します。

# cat /etc/hosts.deny
ALL: ALL

そして許可ルール:

# cat /etc/hosts.allow
sshd: 192.168.0.100

また、これは良い記事です:

http://www.debian-administration.org/article/87/Keeping_SSH_access_secure

1
JDS