某ATフィールドっぽい感じに書いてるつもりなんですけどw
iptablesだと意味が逆になっちゃうなw
雰囲気だけ感じてください。
で、なんの事かと言うと、こないだ対策しました!って日記に書いてた、受信サーバーへの辞書攻撃の対策です。
タイトルの通り効果はめちゃありました(´▽`)うひひは
初めにやろうとしてたことは、同一IPから数百回のアクセスがあった場合そのIPアドレスをアクセス拒否に追加するぞって事がやりたかったんですが、全くやり方が分からず。
ちょろっと考え方の筋を変えまして、ある期間に連続してアクセスしてきたパケットはドロップしちゃうぞってことをやろうということにしました。
これも色々なサイトを参考にした結果で、以下は基本となる ITメディアさんの記事を参照したものの文です。
# iptables -A INPUT -p tcp -m state–syn–state NEW–dport 22 -m limit–limit 1/second–limit-burst 1 -j ACCEPT
# iptables -A INPUT -p tcp -m state–syn–state NEW–dport 22 -j DROP
使っているオプションを紹介します。
-p プロトコルです、ポートじゃないよ。
-m モジュールをロードします。
-state state拡張 limit limit拡張(手抜きでごめんさ)
syn tcpのsyn
dport あて先のポート番号です。
drop 破棄、逆はAccept 通過、-j で指定。
よく使うのはこんな感じでしょか、VPSを借りた当初はiptablesもコピペして使ってて、はっきりと意味も分からずやってましたが今はそれなりに理解はできます。
上のやつを、たけけんの仕様に変えて使ってます。
もしたけけんのサーバーを使っているユーザーが居たらブチ切れる制御になってますがw 効果はばっちりでした。
上の例とオプションの意味を各自で調べて、楽しいパケットフィルタリングライフをお過ごしください。
ログにもはっきりとアタックと分かるようになっています。
Logwatchを朝見るのもちょっと楽しくなるね。
iptablesのオプションじたい、もっとたくさんあるので、もっと様々な制限ができるんでしょうなーと思います。
日曜日からのLogは、おかげさまで平和な状態が続いています。
最近ネタがないなーと思いつつもapacheのモジュールを使った分散についてノータッチだった事を思い出しましたが、また忘れるかもしれませんw
あとはこないだ嫌われ松子の一生も見ましたが何かすごーく良かったです。
それではまたごきげんようさようなら。
