Boa tarde Esdras. A questão é usar o fail2ban configurado especificamente para este usuário. Quando ele detectar uma falha para esse usuário ele já bloqueia o IP. Com isso cada IP irá conseguir fazer apenas uma única requisição antes de ser bloqueado.
2011/8/5 Esdras La-Roque <[email protected]>: > Então pessoal, como relatei antes.. a tentativa vem de IPs diferentes a cada > tentativa. Já tentei fail2ban, porém como a solicitação é feita cada vez de > um IP diferente, fica inviável bloquear na primeira tentativa errada. Assim > eu acabaria bloqueando muitos clientes reais que erram a senha > inocentemente. > > Em 5 de agosto de 2011 17:13, Marcelo Estanislau <[email protected] >> escreveu: > >> Olá, >> >> Perfeitamente, agora entendemos que o seu problema é que você está >> recebendo ataques no serviço de correio eletrônico. Como já mencionado pelos >> colegas, fail2ban resolverá o seu problema, bloqueando o ip do atacante se a >> autenticação falhar por mais de "n" vezes, você só precisa definir essa >> regra no fail2ban. >> >> >> Abraços, >> >> Marcelo Estanislau Geyer >> [email protected] >> Standard Net Tecnologia >> http://www.standardnet.com.br >> -- >> PGP Key: keys.gnupg.net - ID 468EA3A4 >> >> Em 05-08-2011 16:56, Esdras La-Roque escreveu: >> >> Deixa eu tentar explanar melhor o meu problema, em específico. vamos lá.. >>> >>> Tenho um smtp autenticado (saslauthd), que verifica as credenciais em um >>> host remoto (mecanismo rimap). Sendo assim, ele recebe a requição de >>> autenticação e gera um processo que aguarda a resposta do servidor acerca >>> da >>> validade das credenciais. Se as credenciais forem inválidas, tanto senha, >>> quanto usuário inexistente, esse "acesso remoto" se torna um "disperdício" >>> de recursos locais e de rede. >>> >>> Pois bem, o problema é que o ataque é feito na autenticação com a mesma >>> conta (credencial de username que já nem existe), de IPs diferentes e com >>> uma frequência com média de 10 tentativas por segundo. Isso consome >>> recursos >>> locais e de rede, as vezes até causando negação de serviço. >>> De maneira geral, a intenção não é quebrar a senha de uma conta, pois a >>> conta já não existe mais. A intenção é a negação de serviço, e como a >>> única >>> informação repetida que possuo no ataque é o login informado. Queria ver >>> alguma forma de identificar a partir dele e parar todo o processo de >>> autenticação, livrando os recursos que são usados para retornar a mensagem >>> de falha de login o tempo todo. >>> >>> >>> Em 5 de agosto de 2011 15:25, Gabriel Ricardo<[email protected]>** >>> escreveu: >>> >>> é o favil2ban trabalha com eventos e açoes, baseado em regexp em cima de >>>> logs, pode fazer oq sua mente permitir. >>>> >>>> Atenciosamente, >>>> *Gabriel Ricardo.* >>>> *Skype:* gricardo87 >>>> *MSN:* [email protected] >>>> *Twitter:* twitter.com/gricardo87 >>>> *Blog:* www.tinotapa.com.br >>>> >>>> >>>> >>>> >>>> Em 5 de agosto de 2011 15:21, Reinaldo de Carvalho >>>> <[email protected]>escreveu: >>>> >>>> 2011/8/5 Esdras >>>> La-Roque<esdras.laroque@gmail.**com<[email protected]> >>>>> >: >>>>> >>>>>> Na realidade, queria ver se alguém tinha alguma ideia parecida com >>>>>> >>>>> isso. >>>> >>>>> O fail2ban não me serve no momento. Quero conter um ataque de DDoS, em >>>>>> >>>>> que o >>>>> >>>>>> atacante usa IPs diferentes a cada tentativa de autenticação, aí saí do >>>>>> escopo do fail2ban. Não posso limitar o fail2ban para 1 tentativa >>>>>> >>>>> errada, >>>> >>>>> assim eu teria muitos falsos positivos. Mas valeu a intenção. >>>>>> >>>>>> >>>>> Se cada tentativa vem de IPs distintos, e o alvo é um determinado >>>>> usuário, uma solução drástica seria bloquear a conta temporariamente >>>>> (30 min?) após um determinado número de tentativas, onde o poderia-se >>>>> usar o fail2ban para bloquear, e um outro determinado script para >>>>> desbloquear. >>>>> >>>>> -- >>>>> Reinaldo de Carvalho >>>>> http://korreio.sf.net >>>>> http://python-cyrus.sf.net >>>>> >>>>> "While not fully understand a software, don't try to adapt this >>>>> software to the way you work, but rather yourself to the way the >>>>> software works" (myself) >>>>> ______________________________**_________________ >>>>> Postfix-BR mailing list >>>>> Postfix-BR@listas.**softwarelivre.org<[email protected]> >>>>> http://listas.softwarelivre.**org/mailman/listinfo/postfix-**br<http://listas.softwarelivre.org/mailman/listinfo/postfix-br> >>>>> >>>>> ______________________________**_________________ >>>> Postfix-BR mailing list >>>> Postfix-BR@listas.**softwarelivre.org<[email protected]> >>>> http://listas.softwarelivre.**org/mailman/listinfo/postfix-**br<http://listas.softwarelivre.org/mailman/listinfo/postfix-br> >>>> >>>> ______________________________**_________________ >>> Postfix-BR mailing list >>> Postfix-BR@listas.**softwarelivre.org<[email protected]> >>> http://listas.softwarelivre.**org/mailman/listinfo/postfix-**br<http://listas.softwarelivre.org/mailman/listinfo/postfix-br> >>> >>> ______________________________**_________________ >> Postfix-BR mailing list >> Postfix-BR@listas.**softwarelivre.org<[email protected]> >> http://listas.softwarelivre.**org/mailman/listinfo/postfix-**br<http://listas.softwarelivre.org/mailman/listinfo/postfix-br> >> > _______________________________________________ > Postfix-BR mailing list > [email protected] > http://listas.softwarelivre.org/mailman/listinfo/postfix-br > -- Rafael Henrique da Silva Faria _______________________________________________ Postfix-BR mailing list [email protected] http://listas.softwarelivre.org/mailman/listinfo/postfix-br
