Sto studiando metodi per rallentare la velocità con cui gli attaccanti possono effettuare tentativi di forza bruta contro i servizi SSH e HTTP del mio server web.
Ho trovato molti articoli oltre alla pagina man di iptables-extensions che suggerisce di limitare il numero di connessioni parallele che un indirizzo IP può fare, usando regole come
iptables -A INPUT -p tcp -syn -m multiport --dport 80,443 -m connlimit --connlimit-above 20 -j REJECT
Che consentirà solo 20 connessioni per IP in un dato momento.
Dato che i protocolli HTTP 1.1 e HTTP 2.0 (non sicuro su SSH) supportano il multiplexing TCP e che per impostazione predefinita i server Web come Apache manterranno attive le connessioni TCP attive con KeepAlive direttiva, avrei pensato che uno strumento bruteforce avrebbe avuto bisogno solo stabilire un basso numero di connessioni e tali connessioni potrebbero supportare molte richieste e risposte ripetute per un lungo periodo di tempo
per esempio. un browser potrebbe avere solo 6-8 connessioni in qualsiasi momento, ma tali connessioni supporteranno molte richieste / risposte HTTP.
- Qualcuno sa per esperienza quante connessioni TCP parallele uno strumento di forza bruta proverà ad aprire?
- e anche le regole del firewall che limitano la frequenza sono efficaci?