※ 引述《ddjack (CKK)》之銘言:
: 公司的MAIL Server是CentOS 平台然後安裝外購的MAIL SEVER運作
: 前陣子發現常常有外部IP使用SMTP在嘗試登入公司某些主管的帳號
: 後來使用FAIL2BAN終於減少這樣的狀況
: 但是駭客的攻擊也越來越高明
: 本來類似一小時測試10幾次
: 我用FAIL2BAN 設定 10分鐘登3次就BAN IP
: 他就會進化成 30分鐘登三次
: 有時候我也看LOG 把一些零星的攻擊IP都BAN掉
: 結果最近這種攻擊開始出現最新的進化
: 雖然他目前是都登入一個公司不存在的帳號
: 然後每格大約10分鐘
: 但是他現在的IP都是非常不固定而且每個IP就只有嘗試登入一次就更換IP
: 想請問這樣的攻擊模式有阻擋的可能嗎
: 我看IPTABLES 設定只能設定IP的範圍好像不能擋住某些帳號的登入
這個喔,我自己架來玩的小mail server也有遇到SMTP攻擊的狀況
fail2ban其實還是太溫和了
ban完一段時間就會放出來
所以直接用firewall鎖IP更好用
我不是一個一個IP鎖
先查攻擊來源的IP在哪一國
很少是台灣本土IP來攻擊的
歐洲俄羅斯跟中國才是大宗來源
如果你的公司跟這些國家沒有來往
其實直接ban整個IPS區段很好用
x.x.x.0/24 或x.x.0.0/16 直接ban一個c段或b段ip range
然後你就會覺得世界整個清靜下來了
XDDDDD
我是很希望能有方便速查的各國IP區段範圍啦
一堆垃圾國家根本不可能往來的直接BAN掉
報案根本沒屁用,台灣警察又管不到國外
來源我查過有荷蘭,俄羅斯,土耳其,羅馬尼亞,中國....
直接大區塊BAN掉才沒煩惱
一個一個IP慢慢處理,哪來的美國時間跟性命啊
攻擊IP雖然不固定,可是幾乎都在同個subnet底下
畢竟一直換IP攻擊也是需要成本的
大多數都是在同一個class c subnet之內
偶而看到class b subnet的,但很少見
ban掉這些拉機IP區段很好用