※ 引述《ddjack (CKK)》之铭言:
: 公司的MAIL Server是CentOS 平台然后安装外购的MAIL SEVER运作
: 前阵子发现常常有外部IP使用SMTP在尝试登入公司某些主管的帐号
: 后来使用FAIL2BAN终于减少这样的状况
: 但是骇客的攻击也越来越高明
: 本来类似一小时测试10几次
: 我用FAIL2BAN 设定 10分钟登3次就BAN IP
: 他就会进化成 30分钟登三次
: 有时候我也看LOG 把一些零星的攻击IP都BAN掉
: 结果最近这种攻击开始出现最新的进化
: 虽然他目前是都登入一个公司不存在的帐号
: 然后每格大约10分钟
: 但是他现在的IP都是非常不固定而且每个IP就只有尝试登入一次就更换IP
: 想请问这样的攻击模式有阻挡的可能吗
: 我看IPTABLES 设定只能设定IP的范围好像不能挡住某些帐号的登入
这个喔,我自己架来玩的小mail server也有遇到SMTP攻击的状况
fail2ban其实还是太温和了
ban完一段时间就会放出来
所以直接用firewall锁IP更好用
我不是一个一个IP锁
先查攻击来源的IP在哪一国
很少是台湾本土IP来攻击的
欧洲俄罗斯跟中国才是大宗来源
如果你的公司跟这些国家没有来往
其实直接ban整个IPS区段很好用
x.x.x.0/24 或x.x.0.0/16 直接ban一个c段或b段ip range
然后你就会觉得世界整个清静下来了
XDDDDD
我是很希望能有方便速查的各国IP区段范围啦
一堆垃圾国家根本不可能往来的直接BAN掉
报案根本没屁用,台湾警察又管不到国外
来源我查过有荷兰,俄罗斯,土耳其,罗马尼亚,中国....
直接大区块BAN掉才没烦恼
一个一个IP慢慢处理,哪来的美国时间跟性命啊
攻击IP虽然不固定,可是几乎都在同个subnet底下
毕竟一直换IP攻击也是需要成本的
大多数都是在同一个class c subnet之内
偶而看到class b subnet的,但很少见
ban掉这些拉机IP区段很好用