가끔 내가 관리하는 VPS 중 하나가 POP3 로그인 시도로 인해 공격을 받는 경우가 있습니다. 모두 실패하지만 생성된 프로세스와 활성 연결의 수가 엄청나게 많아 DoS 공격에 해당합니다.
그런 일이 벌어지는 것을 보면 저는 보통 iptables에 들어가서 문제의 IP 주소를 수동으로 차단합니다.내가 원하는 것시스템 로그(또는 다른 적절한 장소)를 모니터링하는 서버에서 프로세스를 실행하고 특정 패턴과 일치하는 반복 로그 항목이 있는 경우 해당 항목을 명령에 전달하여 관련 부분(원격 호스트 IP)을 추출하는 것입니다. 이 경우에는 주소)를 입력하고 명령을 실행합니다(iptables에 DROP 규칙을 추가하기 위해).예를 들어, 동일한 메시지 부분이 포함된 로그 항목이 1분 내에 5번 기록되는 경우 그렇게 합니다.
도움이 될 경우 VPS는 syslog-ng를 실행합니다. 나는 iptables에 속도 제한을 설정했는데 이는 어느 정도 도움이 되지만 공격자의 연결 시도만큼 내 자신의 연결 시도를 차단하므로 확실히 완벽하지는 않습니다(연결을 설정하는 사람의 행운이 됩니다). 연결해야 하는 클라이언트는 동적 블록의 IP 주소를 갖고 있기 때문에 속도 제한 없이 재정의 규칙을 추가하는 것은 어렵습니다.
VPS는 Virtuozzo에서 실행되기 때문에 게스트에 대한 루트 액세스 권한은 있지만 사용자 정의 커널 모듈이나 사용자 정의 커널을 로드할 수 없습니다. 따라서 사용자 공간에서 수행되어야 합니다.
어떤 소프트웨어가 나에게 도움이 될까요?
답변1
답변2
저는 OSSEC(http://www.ossec.net/)를 사용합니다. 로그 분석을 수행하지만 최소한의 설정으로 활성 응답 옵션(즉시 iptables 및 호스트.거부 항목 추가 및 제거)도 있습니다. 여기에는 몇 가지 기본 규칙이 있지만 직접 추가할 수도 있습니다. 나는 그것을 테스트했고 CentOS, Ubuntu 및 Slackware 머신(물리적 및 VPS 모두)을 사용하여 프로덕션에서 사용했습니다.
설치는 매우 쉽습니다(조정, 주로 일부 규칙을 무시하도록 구성하는 것은 시간이 더 걸립니다). 이를 사용하고 활성 응답 기능을 활성화하는 경우 일반적으로 기본값으로 충분합니다.
기본 차단 시간(몇 분)을 그대로 두고 귀하의 IP(또는 귀하의 IP가 고정되지 않고 서버가 귀하를 차단하는 경우를 대비해 귀하가 신뢰하는 다른 서버의 IP)가 포함된 화이트리스트를 추가하는 것이 좋습니다.
또한 보다 복잡한 차단 관리가 필요한 경우 실제 활성 차단을 수행하기 전에 bash(예:) 스크립트를 사용하여 IP 주소를 확인하고 처리하도록 OSSEC를 구성할 수 있습니다.