4

Я хочу динамически блокировать определенные подключения, использующие один и тот же IP-адрес, на основе скорости или ограничения подключения. Возможно ли это с помощью Solaris/IPF или какого-либо расширения sendmail? Я хочу ограничить попытки входа в sendmail, чтобы предотвратить атаки методом перебора.

В Linux это легко обрабатывается на уровне брандмауэра iptables, но я не смог найти способ использовать ipf, чтобы ограничить его на уровне брандмауэра. Sendmail имеет встроенный лимит скорости и ограничения на соединение, но, похоже, он применяется ко всем пользователям, поэтому, если у нас DOS или DDOS, он блокирует всех наших пользователей, а не только злоумышленника.

1 ответ1

1

Я решаю эту проблему, добавив другое правило в syslog / rsyslog для передачи сообщений mail. * В fifo в / etc / mail / mailban / syslog_fifo

Затем я создал демон, чтобы читать syslog_fifo, анализировать сообщения sendmail и действовать на основании найденного. История каждого IP-адреса и активности отслеживается через 1,5 миллиона (!) Строка MySQL таблицы. Оскорбительные ip-адреса добавляются в цепочку запретов в iptables на различные периоды / порты в зависимости от различных критериев, и жизнь продолжается сладко ...

Простая задача cron выполняется каждый час и освобождает старые IP-адреса и соответственно обновляет статус в базе данных.

Теперь я заставил программное обеспечение автоматически скомпилировать и очистить записи журнала, найти адрес ответственного за злоупотребление для ip, а затем отправить отчет, информирующий интернет-провайдера о необщительном поведении. Это работает примерно в 5% случаев, и помогает немного очистить сеть.

Это также требует черный список провайдеров-провайдеров, которые не принимают или игнорируют жалобы такого типа, и это развивается со временем.

Я также использую другое подобное решение для атак ssh, pop3, httpd.

Я не знаю ни одного другого программного обеспечения, которое делает это, но я мог бы помочь вам разработать решение, хотя я больше всего знаком с RedHat/Fedora.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .