Re: [問題] SMTP 攻擊防禦詢問

看板Linux作者allyourshit (都你的大便)時間4年前 (2020/07/19 01:30)推噓6(6推 0噓 3→)

留言9則, 7人參與討論串2/2 (看更多)

※ 引述《ddjack (CKK)》之銘言： : 公司的MAIL Server是CentOS 平台然後安裝外購的MAIL SEVER運作 : 前陣子發現常常有外部IP使用SMTP在嘗試登入公司某些主管的帳號 : 後來使用FAIL2BAN終於減少這樣的狀況 : 但是駭客的攻擊也越來越高明 : 本來類似一小時測試10幾次 : 我用FAIL2BAN 設定 10分鐘登3次就BAN IP : 他就會進化成 30分鐘登三次 : 有時候我也看LOG 把一些零星的攻擊IP都BAN掉 : 結果最近這種攻擊開始出現最新的進化 : 雖然他目前是都登入一個公司不存在的帳號 : 然後每格大約10分鐘 : 但是他現在的IP都是非常不固定而且每個IP就只有嘗試登入一次就更換IP : 想請問這樣的攻擊模式有阻擋的可能嗎 : 我看IPTABLES 設定只能設定IP的範圍好像不能擋住某些帳號的登入這個喔，我自己架來玩的小mail server也有遇到SMTP攻擊的狀況 fail2ban其實還是太溫和了 ban完一段時間就會放出來所以直接用firewall鎖IP更好用我不是一個一個IP鎖先查攻擊來源的IP在哪一國很少是台灣本土IP來攻擊的歐洲俄羅斯跟中國才是大宗來源如果你的公司跟這些國家沒有來往其實直接ban整個IPS區段很好用 x.x.x.0/24 或x.x.0.0/16 直接ban一個c段或b段ip range 然後你就會覺得世界整個清靜下來了 XDDDDD 我是很希望能有方便速查的各國IP區段範圍啦一堆垃圾國家根本不可能往來的直接BAN掉報案根本沒屁用，台灣警察又管不到國外來源我查過有荷蘭，俄羅斯，土耳其，羅馬尼亞，中國.... 直接大區塊BAN掉才沒煩惱一個一個IP慢慢處理，哪來的美國時間跟性命啊攻擊IP雖然不固定，可是幾乎都在同個subnet底下畢竟一直換IP攻擊也是需要成本的大多數都是在同一個class c subnet之內偶而看到class b subnet的，但很少見 ban掉這些拉機IP區段很好用 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.133.51.88 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Linux/M.1595093411.A.A78.html