É.. já tinha chegado a essa conclusão.. só queria ver se derrepente aparecia uma luz, antes de avisar que não tem jeito, vai precisar gastar. hehhehehehehe..
Em 5 de agosto de 2011 17:46, Reinaldo de Carvalho <[email protected]>escreveu: > Pelas condicoes colocadas, voce tem que escalar a infra pra aguentar o > volume, já que nao ha condicao usavel como gatilho do bloqueio. > > []'s > > Reinaldo > > Sent from my iPhone > > Em 05/08/2011, às 17:24, Esdras La-Roque <[email protected]> > escreveu: > > > Então pessoal, como relatei antes.. a tentativa vem de IPs diferentes a > cada > > tentativa. Já tentei fail2ban, porém como a solicitação é feita cada vez > de > > um IP diferente, fica inviável bloquear na primeira tentativa errada. > Assim > > eu acabaria bloqueando muitos clientes reais que erram a senha > > inocentemente. > > > > Em 5 de agosto de 2011 17:13, Marcelo Estanislau < > [email protected] > >> escreveu: > > > >> Olá, > >> > >> Perfeitamente, agora entendemos que o seu problema é que você está > >> recebendo ataques no serviço de correio eletrônico. Como já mencionado > pelos > >> colegas, fail2ban resolverá o seu problema, bloqueando o ip do atacante > se a > >> autenticação falhar por mais de "n" vezes, você só precisa definir essa > >> regra no fail2ban. > >> > >> > >> Abraços, > >> > >> Marcelo Estanislau Geyer > >> [email protected] > >> Standard Net Tecnologia > >> http://www.standardnet.com.br > >> -- > >> PGP Key: keys.gnupg.net - ID 468EA3A4 > >> > >> Em 05-08-2011 16:56, Esdras La-Roque escreveu: > >> > >> Deixa eu tentar explanar melhor o meu problema, em específico. vamos > lá.. > >>> > >>> Tenho um smtp autenticado (saslauthd), que verifica as credenciais em > um > >>> host remoto (mecanismo rimap). Sendo assim, ele recebe a requição de > >>> autenticação e gera um processo que aguarda a resposta do servidor > acerca > >>> da > >>> validade das credenciais. Se as credenciais forem inválidas, tanto > senha, > >>> quanto usuário inexistente, esse "acesso remoto" se torna um > "disperdício" > >>> de recursos locais e de rede. > >>> > >>> Pois bem, o problema é que o ataque é feito na autenticação com a mesma > >>> conta (credencial de username que já nem existe), de IPs diferentes e > com > >>> uma frequência com média de 10 tentativas por segundo. Isso consome > >>> recursos > >>> locais e de rede, as vezes até causando negação de serviço. > >>> De maneira geral, a intenção não é quebrar a senha de uma conta, pois a > >>> conta já não existe mais. A intenção é a negação de serviço, e como a > >>> única > >>> informação repetida que possuo no ataque é o login informado. Queria > ver > >>> alguma forma de identificar a partir dele e parar todo o processo de > >>> autenticação, livrando os recursos que são usados para retornar a > mensagem > >>> de falha de login o tempo todo. > >>> > >>> > >>> Em 5 de agosto de 2011 15:25, Gabriel Ricardo<[email protected]>** > >>> escreveu: > >>> > >>> é o favil2ban trabalha com eventos e açoes, baseado em regexp em cima > de > >>>> logs, pode fazer oq sua mente permitir. > >>>> > >>>> Atenciosamente, > >>>> *Gabriel Ricardo.* > >>>> *Skype:* gricardo87 > >>>> *MSN:* [email protected] > >>>> *Twitter:* twitter.com/gricardo87 > >>>> *Blog:* www.tinotapa.com.br > >>>> > >>>> > >>>> > >>>> > >>>> Em 5 de agosto de 2011 15:21, Reinaldo de Carvalho > >>>> <[email protected]>escreveu: > >>>> > >>>> 2011/8/5 Esdras La-Roque<esdras.laroque@gmail.**com< > [email protected]> > >>>>>> : > >>>>> > >>>>>> Na realidade, queria ver se alguém tinha alguma ideia parecida com > >>>>>> > >>>>> isso. > >>>> > >>>>> O fail2ban não me serve no momento. Quero conter um ataque de DDoS, > em > >>>>>> > >>>>> que o > >>>>> > >>>>>> atacante usa IPs diferentes a cada tentativa de autenticação, aí saí > do > >>>>>> escopo do fail2ban. Não posso limitar o fail2ban para 1 tentativa > >>>>>> > >>>>> errada, > >>>> > >>>>> assim eu teria muitos falsos positivos. Mas valeu a intenção. > >>>>>> > >>>>>> > >>>>> Se cada tentativa vem de IPs distintos, e o alvo é um determinado > >>>>> usuário, uma solução drástica seria bloquear a conta temporariamente > >>>>> (30 min?) após um determinado número de tentativas, onde o poderia-se > >>>>> usar o fail2ban para bloquear, e um outro determinado script para > >>>>> desbloquear. > >>>>> > >>>>> -- > >>>>> Reinaldo de Carvalho > >>>>> http://korreio.sf.net > >>>>> http://python-cyrus.sf.net > >>>>> > >>>>> "While not fully understand a software, don't try to adapt this > >>>>> software to the way you work, but rather yourself to the way the > >>>>> software works" (myself) > >>>>> ______________________________**_________________ > >>>>> Postfix-BR mailing list > >>>>> Postfix-BR@listas.**softwarelivre.org< > [email protected]> > >>>>> http://listas.softwarelivre.**org/mailman/listinfo/postfix-**br< > http://listas.softwarelivre.org/mailman/listinfo/postfix-br> > >>>>> > >>>>> ______________________________**_________________ > >>>> Postfix-BR mailing list > >>>> Postfix-BR@listas.**softwarelivre.org< > [email protected]> > >>>> http://listas.softwarelivre.**org/mailman/listinfo/postfix-**br< > http://listas.softwarelivre.org/mailman/listinfo/postfix-br> > >>>> > >>>> ______________________________**_________________ > >>> Postfix-BR mailing list > >>> Postfix-BR@listas.**softwarelivre.org< > [email protected]> > >>> http://listas.softwarelivre.**org/mailman/listinfo/postfix-**br< > http://listas.softwarelivre.org/mailman/listinfo/postfix-br> > >>> > >>> ______________________________**_________________ > >> Postfix-BR mailing list > >> Postfix-BR@listas.**softwarelivre.org< > [email protected]> > >> http://listas.softwarelivre.**org/mailman/listinfo/postfix-**br< > http://listas.softwarelivre.org/mailman/listinfo/postfix-br> > >> > > _______________________________________________ > > Postfix-BR mailing list > > [email protected] > > http://listas.softwarelivre.org/mailman/listinfo/postfix-br > _______________________________________________ > Postfix-BR mailing list > [email protected] > http://listas.softwarelivre.org/mailman/listinfo/postfix-br > _______________________________________________ Postfix-BR mailing list [email protected] http://listas.softwarelivre.org/mailman/listinfo/postfix-br
