有时,我控制的一台 VPS 会受到 POP3 登录尝试的轰炸。它们都失败了,但是大量生成的进程和活动连接几乎相当于 DoS 攻击。
当我看到这种情况时,我通常会进入并手动阻止 iptables 中的违规 IP 地址。我想要的是在服务器上运行一个进程来监视系统日志(或其他适当的地方),如果有重复的日志条目匹配特定模式,则将它们传递给一个命令,然后该命令将提取相关部分(远程主机 IP 地址,在这种情况下)并执行命令(将 DROP 规则添加到 iptables)。例如,如果具有相同消息部分的日志条目在一分钟内被记录五次,请执行此操作。
如果有帮助,VPS 会运行 syslog-ng。我已经在 iptables 中设置了速率限制,这在一定程度上有所帮助,但肯定不是完美的,因为它阻止我自己的连接尝试与攻击者的连接尝试一样多(这成为获得已建立连接的抽奖者的运气)。由于应该连接的客户端具有来自动态块的 IP 地址,因此很难在没有速率限制的情况下添加覆盖规则。
由于 VPS 在 Virtuozzo 上运行,虽然我对来宾有 root 访问权限,但我无法加载自定义内核模块或自定义内核。所以它必须在用户空间完成。
什么软件可以帮到我?
| 归档时间: |
|
| 查看次数: |
532 次 |
| 最近记录: |