В настоящее время на одном из моих веб-сайтов выполняется попытка входа в систему методом грубой силы. Проблема в том, что он исходит из нескольких источников IP. У меня есть система, которая автоматически блокирует IP-адрес после 3 попыток, и до сих пор злоумышленник пытался / заблокировал 800 разных IP-адресов. Меня не очень беспокоит список имен пользователей / паролей, который он использует, так как я могу видеть его по мере их поступления, но я думаю, что меня беспокоят только системные ресурсы.
Я все еще новичок в подобных вещах, поэтому не уверен, есть ли у меня другие варианты. Что еще можно сделать против такого рода атак?
Сервер работает под управлением CentOS 6
Насколько я понимаю, вы можете обнаруживать атаки только на уровне приложений (HTTP).
Рекомендую использовать modsecurity для обнаружения и блокировки на этом уровне он также может генерировать динамические блоки, блокировать запросы на некоторое время, запускать внешние команды (т.е. добавлять правило в iptables) и т. д.
Modsecurity будет наиболее эффективным решением для обнаружения блокировки - вам необходимо заблокировать запросы на брандмауэре.
Некоторые блокируют запросы с помощью fail2ban, но с моей личной точки зрения это неэффективно.
Если они начнут поступать с такой скоростью, что атака скорее является DDoS, чем грубой силой, я бы начал блокировать диапазоны IP-адресов в брандмауэре.
Проблема с DDoS-атаками заключается в том, что вы не можете так много с ними поделать, но начинаете фильтровать большие диапазоны IP-адресов (о которых я знаю). Думаю, основная проблема такой атаки в том, что источником часто являются взломанные компьютеры «нормальных» людей. В результате возникает сложная ситуация с фильтрацией.
Нам, выходцам из IRC-сообщества, часто приходилось тянуть за сетевой кабель на каком-то сервере, когда на них нападали дети.
PS: Пару лет назад мне пришлось столкнуться с этим, и, возможно, в наши дни есть более умный способ отражения DDoS-атак. :-)