Ataque Múltiplo por Ataque de Brute IP CentOS 6

Navegue suas respostas
2

Atualmente, um dos meus sites está sendo submetido a uma tentativa de login de força bruta. O problema é que ele vem de várias fontes de IP. Eu tenho um sistema que auto bane IP após 3 tentativas e até agora o atacante tentou / baniu 800 IPs diferentes. Eu não estou realmente preocupado com a lista de nome de usuário / senha que ele está usando, pois eu posso vê-lo quando eles entram, mas eu acho que minha única preocupação são os recursos do sistema.

Ainda sendo algo novo nesse tipo de coisa, não tenho certeza se tenho outras opções. Existe mais alguma coisa que você possa fazer contra esse tipo de ataque?

O servidor está executando o CentOS 6

    
por JJd 03.09.2013 / 07:46

2 respostas

3

Pelo que entendi, você pode detectar ataques apenas na Camada de Aplicação (HTTP).

Eu recomendo usar modsecurity para detecção e bloqueio nesta camada, além disso, ele pode gerar blocos dinâmicos, bloquear solicitações por algum tempo , execute comandos externos (isto é, adicione regra ao iptables) etc.

O Modsecurity será a solução mais eficaz para detectar, em relação ao bloqueio - você precisa bloquear solicitações no firewall.

Algumas solicitações de bloqueio com fail2ban, mas do meu ponto de vista pessoal, são ineficazes.

    
por 03.09.2013 / 08:21
0

Se eles começam a chegar a uma taxa que o ataque é um DDoS do que uma força bruta, eu começaria a bloquear intervalos de IPs no firewall.

O problema com ataques DDoS é que você não pode fazer muito sobre eles, mas começar a filtrar grandes intervalos de IPs (que eu conheço). Eu acho que o principal problema com tal ataque é que a fonte é muitas vezes hacked computadores de pessoas "normais". Resultando em uma situação complicada de filtragem.

Vindo da comunidade de IRC, muitas vezes tivemos que puxar o cabo de rede em algum servidor enquanto as crianças atacavam.

PS: Foi há alguns anos atrás que tive de lidar com isso, e talvez haja uma maneira mais inteligente de atacar DDoS nos dias de hoje. : -)

    
por 03.09.2013 / 08:05

Tags

o analisador de log não interpreta datas corretamente ELB, nginx e vários aplicativos HTTPS