Atualmente, um dos meus sites está sujeito a uma tentativa de login de força bruta. O problema é que ele vem de múltiplas fontes de IP. Eu tenho um sistema que bane IP automaticamente após 3 tentativas e até agora o invasor tentou/baniu 800 IPs diferentes. Não estou realmente preocupado com a lista de nome de usuário/senha que ele está usando, pois posso vê-la conforme eles chegam, mas acho que minha única preocupação são os recursos do sistema.
Ainda sendo um pouco novo nesse tipo de coisa, não tenho certeza se tenho outras opções. Há mais alguma coisa que você possa fazer contra esse tipo de ataque?
O servidor está executando o CentOS 6
Responder1
Pelo que entendi, você pode detectar ataques apenas na camada de aplicativo (HTTP).
Eu recomendo usarsegurança modpara detecção e bloqueio nesta camada, também pode gerar blocos dinâmicos, bloquear solicitações por algum tempo, executar comandos externos (ou seja, adicionar regras ao iptables) etc.
Modsecurity será a solução mais eficaz para detectar, em relação ao bloqueio - você precisa bloquear solicitações no firewall.
Alguns bloqueiam solicitações com fail2ban, mas do meu ponto de vista pessoal é ineficaz.
Responder2
Se eles começarem a chegar a uma taxa em que o ataque seja mais um DDoS do que uma força bruta, eu começaria a bloquear intervalos de IPs no firewall.
O problema com os ataques DDoS é que você não pode fazer muito sobre eles, mas começar a filtrar grandes intervalos de IPs (que eu saiba). Acho que o principal problema desse tipo de ataque é que a fonte geralmente são computadores hackeados de pessoas "normais". Resultando em uma situação de filtragem complicada.
Vindo da comunidade IRC, muitas vezes tínhamos que puxar o cabo de rede de algum servidor enquanto crianças os atacavam.
PS: Faz alguns anos que tive que lidar com isso, e talvez haja uma maneira mais inteligente de evitar ataques DDoS atualmente. :-)