Quanto sono efficaci le regole di limitazione della velocità del firewall per rallentare la forza bruta e gli attacchi DOS?

3

Sto studiando metodi per rallentare la velocità con cui gli attaccanti possono effettuare tentativi di forza bruta contro i servizi SSH e HTTP del mio server web.
Ho trovato molti articoli oltre alla pagina man di iptables-extensions che suggerisce di limitare il numero di connessioni parallele che un indirizzo IP può fare, usando regole come

iptables -A INPUT -p tcp -syn -m multiport --dport 80,443 -m connlimit --connlimit-above 20 -j REJECT

Che consentirà solo 20 connessioni per IP in un dato momento.

Dato che i protocolli HTTP 1.1 e HTTP 2.0 (non sicuro su SSH) supportano il multiplexing TCP e che per impostazione predefinita i server Web come Apache manterranno attive le connessioni TCP attive con KeepAlive direttiva, avrei pensato che uno strumento bruteforce avrebbe avuto bisogno solo stabilire un basso numero di connessioni e tali connessioni potrebbero supportare molte richieste e risposte ripetute per un lungo periodo di tempo per esempio. un browser potrebbe avere solo 6-8 connessioni in qualsiasi momento, ma tali connessioni supporteranno molte richieste / risposte HTTP.

  • Qualcuno sa per esperienza quante connessioni TCP parallele uno strumento di forza bruta proverà ad aprire?
  • e anche le regole del firewall che limitano la frequenza sono efficaci?
posta the_velour_fog 19.11.2015 - 06:48
fonte

1 risposta

2

Personalmente, uso fail2ban per bloccare gli accessi alla forza di Bruce. Gli strumenti di forza bruta tendono a non aprire molte connessioni parallele.

Per quanto riguarda la forzatura bruta degli accessi HTTP, le regole di limitazione della connessione dipenderanno dal numero di connessioni parallele richieste dalle applicazioni web. Se lo imposti troppo breve, i tuoi utenti legittimi non saranno in grado di utilizzare il tuo servizio.

    
risposta data 19.11.2015 - 06:59
fonte

Leggi altre domande sui tag