場合によっては、VPS IコントロールがPOP3ログイン試行で攻撃を受けることがあります。どちらも失敗しましたが、生成された多数のプロセスとアクティブな接続はDoS攻撃とほぼ同じでした。
これが起こると、通常はiptablesに入り、問題のIPアドレスを手動でブロックします。欲しいものsyslog(または他の適切な場所)を監視するプロセスをサーバー上で実行し、特定のパターンと一致する重複ログエントリがある場合は、それをコマンドに渡して関連部分(リモートホストIPアドレス)を抽出します。この場合、コマンドを実行します(iptablesにDROPルールを追加)。例えば、同じメッセージ部分を含むログエントリが1分以内に5回記録されると実行されます。
VPSは役に立つ場合に備えてsyslog-ngを実行します。私はiptablesに速度制限を設定しました。これは役に立ちますが、確かに完璧ではありません。攻撃者の接続試行をブロックするだけに、自分自身の接続試行もブロックするからです(接続が確立された人は幸運です)。接続する必要があるクライアントは動的ブロックのIPアドレスを持っているため、速度制限なしで上書きルールを追加することは困難です。
VPSはVirtuozzoで実行されているため、ゲストからrootアクセス権がありますが、カスタムカーネルモジュールまたはカスタムカーネルをロードできません。したがって、ユーザー空間で実行する必要があります。
どのソフトウェアが私に役立ちますか?
答え1
答え2
私はOSSEC(http://www.ossec.net/)を使用しています。ログ分析を実行しますが、最小限の設定で事前対応オプション(iptablesおよびホスト、拒否エントリを動的に追加および削除)も提供します。これにはいくつかの基本的な規則がありますが、直接追加することもできます。私はそれをテストし、CentOS、Ubuntu、およびSlackwareマシン(物理的およびVPS)のプロダクションで使用しました。
インストールは非常に簡単です。主に特定のルールを無視するように設定するチューニングには時間がかかります。これを使用して事前対応機能を有効にする場合、通常はデフォルト値で十分です。
デフォルトのブロック時間(数分)をそのままにして、IP(またはあなたのIPが固定されておらず、サーバーがあなたをブロックする場合に備えて、あなたが信頼している他のサーバーのIP)を含むホワイトリストを追加することをお勧めします。
さらに、より洗練されたブロック管理が必要な場合は、実際のアクティブブロックを実行する前にbashスクリプトを使用してIPアドレスを調べて処理するようにOSSECを構成できます。