Derzeit wird auf einer meiner Websites ein Brute-Force-Anmeldeversuch unternommen. Das Problem ist, dass der Versuch von mehreren IP-Quellen kommt. Ich habe ein System, das IPs nach 3 Versuchen automatisch sperrt, und bisher hat der Angreifer 800 verschiedene IPs ausprobiert bzw. gesperrt. Ich mache mir keine großen Sorgen über die Benutzernamen-/Passwortliste, die er verwendet, da ich sie sehen kann, wenn sie eingehen, aber ich schätze, meine einzige Sorge sind die Systemressourcen.
Da ich in dieser Hinsicht noch relativ neu bin, bin ich mir nicht sicher, ob ich andere Möglichkeiten habe. Kann man gegen diese Art von Angriff sonst noch etwas tun?
Auf dem Server läuft CentOS 6
Antwort1
So wie ich es verstehe, können Sie Angriffe nur auf der Anwendungsebene (HTTP) erkennen.
Ich empfehle zu verwendenModsicherheitZur Erkennung und Blockierung auf dieser Ebene kann es außerdem dynamische Blöcke generieren, Anfragen für einige Zeit blockieren, externe Befehle ausführen (z. B. Regeln zu iptables hinzufügen) usw.
Modsecurity ist in Bezug auf Blockierungen die effektivste Lösung zum Erkennen. Sie müssen Anfragen an die Firewall blockieren.
Einige blockieren Anfragen mit fail2ban, aber aus meiner persönlichen Sicht ist es wirkungslos.
Antwort2
Wenn die Angriffe so häufig auftreten, dass es sich eher um einen DDoS-Angriff als um einen rohen Gewaltangriff handelt, würde ich anfangen, IP-Bereiche in der Firewall zu blockieren.
Das Problem bei DDoS-Angriffen ist, dass man nicht viel dagegen tun kann, außer große IP-Bereiche zu filtern (soweit ich weiß). Ich denke, das Hauptproblem bei einem solchen Angriff ist, dass die Quelle oft gehackte Computer von „normalen“ Leuten sind. Das führt zu einer kniffligen Filtersituation.
Da wir aus der IRC-Community kommen, mussten wir bei manchen Servern oft das Netzwerkkabel ziehen, während Kinder sie angriffen.
PS: Ich hatte vor ein paar Jahren damit zu tun und vielleicht gibt es heutzutage eine cleverere Möglichkeit, DDoS-Angriffe abzuwehren. :-)