Назад | Перейти на главную страницу

Блокировка IP-адресов злоумышленников: какие у меня есть возможности?

Мой веб-сайт подвергается атаке с некоторых IP-адресов. Я даже не знаю, был ли это ddos, я знаю только, что он заполнял журналы моего приложения дольше суток, а затем сервер упал из-за использования памяти mysql, я думаю (я получил автоматическое электронное письмо от webmin говоря, что mysql упал)

У меня есть доступ к Iptables, но я не уверен, хочу ли я, чтобы он заполнялся заблокированными IP-адресами.

Я просто хотел знать, что является наиболее распространенной практикой в ​​этом сценарии, я относительно новичок в администрировании серверов.

Я использую Linux Centos, Apache, Php и MySQL

Fail2Ban (http://www.fail2ban.org/) может работать вместе с брандмауэром, таким как iptables, для мониторинга файлов журналов и автоматического добавления правил для блокировки определенных IP-адресов на основе различных правил, например определенное количество неправильных попыток ввода пароля.

Вы можете ограничить количество подключений по IP с помощью iptables.

iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 -j REJECT --reject-with tcp-reset

Есть несколько вариантов в зависимости от вашей инфраструктуры. Используете ли вы устройство пограничной безопасности, такое как аппаратный брандмауэр (PIX, ASA, Sonicwall, сторожевое устройство, брандмауэр и т. Д.)? Если это так, вы можете просто скрыть IP-адреса (настроить правило, которое отправляет все их пакеты в какую-то несуществующую подсеть, или в honeypot, / dev / null и т. Д.). Вы также можете просто настроить устройство, чтобы оно отбрасывало все, что они получают.

Если ваш сервер находится непосредственно в Интернете или в демилитаризованной зоне, вы можете настроить iptables / ipchains для удаления всего из этой группы IP-адресов. Однако ваша проблема немного хуже, если она исходит от ботнета, потому что потенциальный пул IP-адресов может быть невероятным.

Если вы нашли IP-адреса, с которых выполняется атака, вы можете выполнить шаги для их блокировки. Это обычная и эффективная практика в таких сценариях. После этого внимательно следите за сервером и убедитесь, что другие IP-адреса не совершают атак.

Если вам сложно управлять правилами таблицы IP, используйте CSF.

CSF - это интерфейс для правил IPtable.