目前,我的一個網站正在遭受暴力登入嘗試。問題是它來自多個 IP 來源。我有一個系統,在嘗試 3 次後會自動禁止 IP,到目前為止,攻擊者已嘗試/禁止了 800 個不同的 IP。我並不真正擔心他正在使用的用戶名/密碼列表,因為我可以看到它們,但我想我唯一擔心的是系統資源。
我對這種事情還是有點陌生,我不確定是否有其他選擇。對於這種攻擊,您還可以採取其他措施嗎?
伺服器運行 CentOS 6
答案1
據我了解,您只能偵測到應用層(HTTP)上的攻擊。
我建議使用模組安全對於這一層的偵測和阻止,它還可以產生動態區塊、阻止請求一段時間、執行外部命令(即向 iptables 新增規則)等。
Modsecurity 將是最有效的偵測解決方案,關於封鎖 - 您需要封鎖防火牆上的請求。
有些用fail2ban來阻止請求,但從我個人的角度來看,它是無效的。
答案2
如果他們開始以 DDoS 攻擊而非暴力攻擊的速度進行攻擊,我將開始在防火牆中封鎖 IP 範圍。
DDoS 攻擊的問題在於,您無法對其採取太多措施,只能開始過濾大範圍的 IP(據我所知)。我想這種攻擊的主要問題是來源通常是來自「正常」人的駭客電腦。導致棘手的過濾情況。
來自 IRC 社區的我們經常不得不在孩子攻擊某些伺服器時拔掉網路電纜。
PS:幾年前我必須處理這個問題,現在也許有一種更聰明的方法來反彈 DDoS 攻擊。 :-)