NGINX Força bruta Detecção de dispositivos escondidos atrás do NAT. Bloquear apenas um dispositivo específico e nem todos os dispositivos que compartilham o mesmo IP

1

Eu tenho uma instância do AWS EC2 Ubuntu com o servidor NGINX configurado para escutar no endereço IP 50.0.0.1 (exemplo) na porta 80.

Eu tenho uma página de login em index.php. Eu quero configurar o nginx para detecção de força bruta e prevenção (bloqueio ativo) para esta página.

Mas se um nó final do cliente estiver oculto atrás de um NAT, conforme mostrado em minha arquitetura: Arquitetura , de acordo com meu script simples que bloqueia os endereços IP após 5 tentativas mal-sucedidas, ele bloqueia o IP 1.2.3.4 (Consulte Arquitetura ) para que os outros usuários legítimos que compartilham o IP 1.2.3.4 com o invasor também sejam bloqueados.

Existe alguma maneira de bloquear apenas as solicitações do invasor e não outras solicitações legítimas? Algumas soluções vêm à mente são:

  • Bloqueio da combinação IP-SourcePort em vez de apenas IP, mas o invasor pode randomizar as portas de origem para cada solicitação.
  • Implementando um servidor STUN ou um servidor TURN

Qual pode ser a melhor solução para conseguir isso?

    
por Akki 04.11.2017 / 14:32

1 resposta

1

A menos que haja alguma impressão digital específica para cada solicitação de ataque (o que é improvável, pois eles querem se esconder), você não poderá fazer nada, exceto a limitação de taxa, que também afeta todos os clientes legítimos.

    
por 04.11.2017 / 15:57