Cách đơn giản để chống tấn công vét cạn (brute force) với iptables trên centos

Bạn hoàn toàn có thể hạn chế thiệt hại cho máy chủ của mình do bị tấn công brute force bằng cách thiết lập các luật (rule) như sau với iptables

-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource
-A INPUT -p tcp -m tcp --dport 22 -m recent --rcheck --seconds 30 --hitcount 4 --rttl --name SSH --rsource -j REJECT --reject-with tcp-reset
-A INPUT -p tcp -m tcp --dport 22 -m recent --rcheck --seconds 30 --hitcount 3 --rttl --name SSH --rsource -j LOG --log-prefix "SSH brute force"
-A INPUT -p tcp -m tcp --dport 22 -m recent --update --seconds 30 --hitcount 3 --rttl --name SSH --rsource -j REJECT --reject-with tcp-reset
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

Dòng thứ nhất: đánh dấu yêu cầu kết nối SSH đến server.

Dòng thứ hai: Kiểm tra nếu các gói tin kết nối đến SSH từ 1 ip nguồn đến server quá 4 lần trong 30 giây thì sẽ từ chối

Dòng thứ ba: Cũng tương tự như ở dòng số hai, song nếu gói tin SSH gửi đến server từ 1 ip quá 3 lần trong 30 giây thì sẽ ghi log vào hệ thống

Dòng thứ tư: Trong vòng 30 giây mà hệ thống nhận 3 gói tin từ 1 nguồn thì sẽ từ chối gói tin đó

Dong thứ 5: Nếu gói tin không bị chặn bởi những luật phía trên thì sẽ được chấp nhận

Thật đơn giản phải không anh em, chúc anh em thành công ./.

Viết một bình luận