현재 내 웹사이트 중 하나가 무차별 로그인 시도를 받고 있습니다. 문제는 여러 IP 소스에서 발생한다는 것입니다. 나는 3번의 시도 후에 IP를 자동으로 금지하는 시스템을 가지고 있으며 공격자는 지금까지 800개의 다른 IP를 시도/금지했습니다. 나는 그가 사용하는 사용자 이름/비밀번호 목록이 들어올 때 그것을 볼 수 있기 때문에 실제로 걱정하지 않지만 유일한 걱정은 시스템 리소스인 것 같습니다.
아직 이런 종류의 일이 처음이라 다른 옵션이 있는지 잘 모르겠습니다. 이런 종류의 공격에 대비해 할 수 있는 다른 방법이 있나요?
서버가 CentOS 6을 실행 중입니다.
답변1
내가 이해하는 바에 따르면 애플리케이션 계층(HTTP)에서만 공격을 탐지할 수 있습니다.
나는 사용하는 것이 좋습니다모드 보안이 계층에 대한 탐지 및 차단을 위해 동적 블록을 생성하고, 일정 시간 동안 요청을 차단하고, 외부 명령을 실행할 수 있습니다(예: iptables에 규칙 추가).
Modsecurity는 차단과 관련하여 탐지하는 가장 효과적인 솔루션입니다. 방화벽에서 요청을 차단해야 합니다.
Fail2ban을 사용하여 일부 차단 요청을 수행하지만 개인적인 관점에서는 효과가 없습니다.
답변2
공격이 무차별 대입이 아닌 DDoS라는 속도로 공격이 시작되면 방화벽에서 IP 범위를 차단하기 시작할 것입니다.
DDoS 공격의 문제점은 이에 대해 그렇게 많은 조치를 취할 수는 없지만 (내가 알고 있는) 넓은 범위의 IP를 필터링하기 시작한다는 것입니다. 내 생각에 이러한 공격의 가장 큰 문제는 소스가 종종 "일반" 사람들이 해킹한 컴퓨터라는 것입니다. 까다로운 필터링 상황이 발생합니다.
IRC 커뮤니티에서 우리는 아이들이 서버를 공격하는 동안 일부 서버의 네트워크 케이블을 뽑아야 하는 경우가 종종 있었습니다.
추신: 이 문제를 처리해야 했던 것은 몇 년 전이었습니다. 요즘에는 DDoS 공격을 차단하는 더 영리한 방법이 있을 수도 있습니다. :-)