В настоящее время один из моих сайтов подвергается попытке входа методом подбора. Проблема в том, что она исходит из нескольких источников IP. У меня есть система, которая автоматически банит IP после 3 попыток, и на данный момент злоумышленник попробовал/забанил 800 разных IP. Я не особо беспокоюсь о списке имен пользователей/паролей, который он использует, поскольку я вижу его по мере поступления, но, полагаю, единственное, что меня беспокоит, — это системные ресурсы.
Я все еще новичок в этом деле, поэтому не уверен, есть ли у меня другие варианты. Есть ли что-то еще, что вы можете сделать против такого рода атак?
Сервер работает под управлением CentOS 6
решение1
Насколько я понимаю, обнаружить атаки можно только на прикладном уровне (HTTP).
Я рекомендую использоватьmodsecurityдля обнаружения и блокировки на этом уровне он также может генерировать динамические блоки, блокировать запросы на некоторое время, запускать внешние команды (например, добавлять правила в iptables) и т. д.
Modsecurity будет наиболее эффективным решением для обнаружения, что касается блокировки - вам нужно блокировать запросы на брандмауэре.
Некоторые блокируют запросы с помощью fail2ban, но с моей личной точки зрения это неэффективно.
решение2
Если они начнут поступать с такой частотой, что это будет скорее DDoS-атака, чем атака методом подбора, я бы начал блокировать диапазоны IP-адресов в брандмауэре.
Проблема с DDoS-атаками в том, что с ними ничего нельзя сделать, кроме как начать фильтровать большие диапазоны IP-адресов (насколько я знаю). Я полагаю, что главная проблема с такой атакой в том, что источником часто являются взломанные компьютеры "нормальных" людей. В результате возникает сложная ситуация фильтрации.
Будучи представителями сообщества IRC, нам часто приходилось выдергивать сетевой кабель на каком-нибудь сервере, когда на них нападали дети.
PS: Мне пришлось с этим столкнуться пару лет назад, и, возможно, в наши дни есть более умный способ отражения DDoS-атак. :-)