SMTPの総当り攻撃は単にfail2banだけでは防ぐのが難しい傾向にある。
というのも、1人の攻撃者が異なるIPアドレスから適度に間隔をあけて順繰りにトライにこらると、初期設定の監視時間3600秒をすり抜けてしまう。
これらのIPアドレスはある程度連続しており、ipfwなりiptablesなりでネットワークアドレスを丸ごと弾いてやることもできないわけではない。
また、その3600秒を伸ばすこともたやすい。
しかし、日々新しいIPアドレスからアタックがくるし、監視時間を延ばすのも「いたちごっこ」である。
これらを人間がやるように上手くまわして言ってくれるような、AIとは言わないまでもデーモンのようなものはないものか。
世間様はどうやって運用していっているのだろう。
2017年11月08日 13時06分|ブログ|コメント(0)