Actualmente, uno de mis sitios web está sujeto a un intento de inicio de sesión por fuerza bruta. El problema es que proviene de múltiples fuentes de propiedad intelectual. Tengo un sistema que prohíbe automáticamente la IP después de 3 intentos y hasta ahora el atacante ha probado/prohibido 800 IP diferentes. Realmente no estoy preocupado por la lista de nombre de usuario/contraseña que está usando, ya que puedo verla a medida que van llegando, pero supongo que mi única preocupación son los recursos del sistema.
Siendo todavía algo nuevo en este tipo de cosas, no estoy seguro de tener otras opciones. ¿Hay algo más que puedas hacer contra este tipo de ataque?
El servidor ejecuta CentOS 6
Respuesta1
Según tengo entendido, solo puedes detectar ataques en la capa de aplicación (HTTP).
recomiendo usarmodseguridadpara la detección y el bloqueo en esta capa, además, puede generar bloques dinámicos, bloquear solicitudes durante algún tiempo, ejecutar comandos externos (es decir, agregar reglas a iptables), etc.
Modsecurity será la solución más efectiva para detectar, con respecto al bloqueo: debe bloquear las solicitudes en el firewall.
Algunas solicitudes de bloqueo con fail2ban, pero desde mi punto de vista personal, es ineficaz.
Respuesta2
Si comienzan a llegar a un ritmo en el que el ataque es más un DDoS que una fuerza bruta, comenzaría a bloquear rangos de IP en el firewall.
El problema con los ataques DDoS es que no se puede hacer mucho al respecto, excepto comenzar a filtrar grandes rangos de IP (que yo sepa). Supongo que el principal problema con un ataque de este tipo es que la fuente suele ser ordenadores pirateados de personas "normales". Dando como resultado una situación de filtrado complicada.
Al venir de la comunidad IRC, a menudo teníamos que desconectar el cable de red de algún servidor mientras los niños los atacaban.
PD: Hace un par de años tuve que lidiar con esto, y tal vez haya una forma más inteligente de rechazar los ataques DDoS en estos días. :-)