And*_*ber 2 debian firewall iptables ftp brute-force-attacks
这与其他关于蛮力攻击的帖子类似,但更具体一点:
通常,我们能够强制执行体面的密码,并且用户名策略也可以避免成为 99.9% 的暴力 FTP 尝试的牺牲品……但我认为没有理由允许无休止地进行数千次尝试,有时他们可以make 用大量的噪音填充日志文件,这使得找到可能更有针对性的东西变得更加困难。
那么,对于被动 FTP,在 iptables 中对传入 TCP 21 进行一些合理的速率限制是否可以合理有效地切断大量失败的尝试,同时又不会妨碍正常使用?我认为这将通过从同一 IP 到 TCP 21 的速率限制连接来完成.. 是这样吗?有没有我没有想到的问题?
接下来,那么;对于堡垒防火墙/路由器上的一个简单的 iptables 命令,您有什么建议以防止最难/最快的暴力攻击?我的想法是在大约一分钟内触发 25 个连接(原则上成功登录将只是到 TCP 21 的单个连接),然后阻塞半小时。这些数字看起来合理吗?
(其他信息:这是用于保护混合操作系统的 DMZ 的 debian 防火墙/路由器)
iptables -A INPUT -p tcp -m state --state NEW --dport 21 -m recent --name ftpattack --set
iptables -A INPUT -p tcp --dport 21 -m state --state NEW -m recent --name ftpattack --rcheck --seconds 60 --hitcount 4 -j LOG --log-prefix 'FTP REJECT: '
iptables -A INPUT -p tcp --dport 21 -m state --state NEW -m recent --name ftpattack --rcheck --seconds 60 --hitcount 4 -j REJECT --reject-with tcp-reset
在您的规则集附近或顶部的这些规则将只允许三个连接到端口 21,从任何给定的 IP 地址,在滚动的 60 秒窗口中。要允许 n,请使用--hitcount n+1; 要使用大于 60 秒的窗口,请增加--seconds 60.