現在、私のウェブサイトの 1 つがブルート フォース ログイン攻撃の対象になっています。問題は、それが複数の IP ソースから行われていることです。3 回の試行後に IP を自動的に禁止するシステムがあり、これまでに攻撃者は 800 の異なる IP を試行/禁止しています。攻撃者が使用しているユーザー名/パスワード リストについては、入力時に確認できるのであまり心配していませんが、唯一の心配はシステム リソースです。
この種のことにはまだ慣れていないので、他に選択肢があるかどうかわかりません。この種の攻撃に対して他に何かできることはありますか?
サーバーはCentOS 6を実行しています
答え1
私の理解では、攻撃を検出できるのはアプリケーション層 (HTTP) のみです。
使用をお勧めしますモッドセキュリティこのレイヤーでの検出とブロックのために、動的ブロックを生成したり、一定期間リクエストをブロックしたり、外部コマンドを実行したり (つまり、iptables にルールを追加) することもできます。
ブロックに関しては、Modsecurity が最も効果的な検出ソリューションになります。ファイアウォールでリクエストをブロックする必要があります。
fail2ban でリクエストをブロックする人もいますが、私の個人的な観点からは効果がありません。
答え2
攻撃がブルートフォースではなく DDoS になるような速度で攻撃が来るようになったら、ファイアウォールで IP の範囲をブロックし始めます。
DDoS 攻撃の問題は、それに対してできることはそれほど多くなく、広範囲の IP をフィルタリングし始めることです (私が知っている限りでは)。このような攻撃の主な問題は、攻撃元が「普通の」人々のハッキングされたコンピューターであることが多いことだと思います。その結果、フィルタリングの状況が難しくなります。
IRC コミュニティ出身の私たちは、子供たちがサーバーを攻撃しているときに、サーバーのネットワーク ケーブルを抜かなければならないことがよくありました。
PS: 私がこの問題に対処しなければならなかったのは数年前のことですが、最近では DDoS 攻撃を跳ね返すもっと賢い方法があるのかもしれません。:-)