2011,06,24, Friday
前報以後、例の辞書攻撃は止まっています。 しかし、再び攻撃を受けて知らぬ間に dovecot が落ちてしまうと、事情を知るわきたは構わないけど、家人はチト困る。
そこで、この記事を参考にして、iptables を利用してブロックすることにしました。 自鯖の 110番ポート(pop3)に対する、通常は起こり得ない頻度での接続開始要求をブロックします。 具体的には、最初の接続開始要求から1秒以上経たないと、次の接続開始要求を通さないようにしました。 設定した iptables のルールは、以下。 iptables -A INPUT -p tcp --syn --dport 110 -m state --state NEW -m limit --limit 1/second --limit-burst 1 -j ACCEPT以下、解説。 フィルタの対象とするパケット:下記のようなパケットに特定する -p tcp --syn --dport 110 -m state --state NEW ルール1: -m limit --limit 1/second --limit-burst 1 -j ACCEPT 初期状態(直前のマッチから1秒以上経過している状態)では、上記パケットは必ずこのルールにマッチし、ACCEPT される。 バースト値がカウントアップされ --limit-burst 値として指定された1に達する。 ルール2: -j LOG --log-prefix "pop3 : maybe illegal attack " ルール3: -j DROP 上記パケットでありながらルール1にマッチしないパケットは、直前のルール1のマッチから1秒を経ていないパケットであり不正アタックであることが疑われる。 そこで LOG を出力して DROP する。 これらにより、1秒を置かずに連続して 110番ポートに接続しようとするアクセスが遮断される。 効果のほどは、次回アタックを受けてみないと判りませんが・・・
| http://blog.wakita.cc/index.php?e=47 |
| サーバ・Linux::ネットワーク | 05:29 PM | comments (0) | trackback (0) | |
コメント
コメントする
|
この記事のトラックバックURL
http://blog.wakita.cc/tb.php/47
トラックバック
|