Olá,
Perfeitamente, agora entendemos que o seu problema é que você está
recebendo ataques no serviço de correio eletrônico. Como já mencionado
pelos colegas, fail2ban resolverá o seu problema, bloqueando o ip do
atacante se a autenticação falhar por mais de "n" vezes, você só precisa
definir essa regra no fail2ban.
Abraços,
Marcelo Estanislau Geyer
[email protected]
Standard Net Tecnologia
http://www.standardnet.com.br
--
PGP Key: keys.gnupg.net - ID 468EA3A4
Em 05-08-2011 16:56, Esdras La-Roque escreveu:
Deixa eu tentar explanar melhor o meu problema, em específico. vamos lá..
Tenho um smtp autenticado (saslauthd), que verifica as credenciais em um
host remoto (mecanismo rimap). Sendo assim, ele recebe a requição de
autenticação e gera um processo que aguarda a resposta do servidor acerca da
validade das credenciais. Se as credenciais forem inválidas, tanto senha,
quanto usuário inexistente, esse "acesso remoto" se torna um "disperdício"
de recursos locais e de rede.
Pois bem, o problema é que o ataque é feito na autenticação com a mesma
conta (credencial de username que já nem existe), de IPs diferentes e com
uma frequência com média de 10 tentativas por segundo. Isso consome recursos
locais e de rede, as vezes até causando negação de serviço.
De maneira geral, a intenção não é quebrar a senha de uma conta, pois a
conta já não existe mais. A intenção é a negação de serviço, e como a única
informação repetida que possuo no ataque é o login informado. Queria ver
alguma forma de identificar a partir dele e parar todo o processo de
autenticação, livrando os recursos que são usados para retornar a mensagem
de falha de login o tempo todo.
Em 5 de agosto de 2011 15:25, Gabriel Ricardo<[email protected]>escreveu:
é o favil2ban trabalha com eventos e açoes, baseado em regexp em cima de
logs, pode fazer oq sua mente permitir.
Atenciosamente,
*Gabriel Ricardo.*
*Skype:* gricardo87
*MSN:* [email protected]
*Twitter:* twitter.com/gricardo87
*Blog:* www.tinotapa.com.br
Em 5 de agosto de 2011 15:21, Reinaldo de Carvalho
<[email protected]>escreveu:
2011/8/5 Esdras La-Roque<[email protected]>:
Na realidade, queria ver se alguém tinha alguma ideia parecida com
isso.
O fail2ban não me serve no momento. Quero conter um ataque de DDoS, em
que o
atacante usa IPs diferentes a cada tentativa de autenticação, aí saí do
escopo do fail2ban. Não posso limitar o fail2ban para 1 tentativa
errada,
assim eu teria muitos falsos positivos. Mas valeu a intenção.
Se cada tentativa vem de IPs distintos, e o alvo é um determinado
usuário, uma solução drástica seria bloquear a conta temporariamente
(30 min?) após um determinado número de tentativas, onde o poderia-se
usar o fail2ban para bloquear, e um outro determinado script para
desbloquear.
--
Reinaldo de Carvalho
http://korreio.sf.net
http://python-cyrus.sf.net
"While not fully understand a software, don't try to adapt this
software to the way you work, but rather yourself to the way the
software works" (myself)
_______________________________________________
Postfix-BR mailing list
[email protected]
http://listas.softwarelivre.org/mailman/listinfo/postfix-br
_______________________________________________
Postfix-BR mailing list
[email protected]
http://listas.softwarelivre.org/mailman/listinfo/postfix-br
_______________________________________________
Postfix-BR mailing list
[email protected]
http://listas.softwarelivre.org/mailman/listinfo/postfix-br
_______________________________________________
Postfix-BR mailing list
[email protected]
http://listas.softwarelivre.org/mailman/listinfo/postfix-br
