入侵者幾分鐘內登入幾次失敗你才會把他踢掉？

ulimie
個人積分：1910分
文章編號：70175820

1910分

樓主

2018-09-18 20:52

這件事是截圖抓下來時就要提出來的，一忙就忘了...

話說本人使用 syslog server，一向勤於每日檢視 log 檔。這是一則與主題有關的記錄，不管怎樣，這位來敲門的人是躲過了我的相關安全性設定沒有能及時把他 ban 掉。這是從 syslog server 記錄條件過濾後的顯示。

這位從中國來的老兄雖然沒有成功登入，但是顯然很有耐心跟你玩....

在下不會笨到開放 SSH 到公網上，但是有使用非 #22 PORT 的 SFTP，應該是這個引起的。當然我馬上修訂了我的相關設定，給您參考一下。

入侵者幾分鐘內登入幾次失敗你才會把他踢掉？

2018-09-18 20:52 發佈

文章關鍵字入侵者

npc

npc
個人積分：856分
文章編號：70176294

856分

2樓

2018-09-18 21:34

60分鐘錯三次，永不解鎖！我自己用的都是列成白名單~

今年來的紀錄:

Metrostar Ghia-Limited 225/45/R17　　　power by MMC!

ulimie

ulimie
個人積分：1910分
文章編號：70176474

1910分

樓主

2018-09-18 21:48

npc wrote:
60分鐘錯三次，永...(恕刪)

您的設定，在我上述的例子裡，可能在 08/09-2300 - 08/10-0005 破功一次。
我說 "可能" 是因為前面還有行動，如果沒有前面(後面?)的記錄呢?

葉月·八月

葉月·八月
個人積分：1444分
文章編號：70176720

1444分

4樓

2018-09-18 22:09

要發動攻擊，必先掃IP再來掃這IP開哪些Port
路由器(防火牆)端就該擋下這些來者不善的IP Scanner
個人的NAS已經很久沒看過入侵者嘗試登陸的錯誤訊息了

umax

umax
個人積分：25844分
文章編號：70178181

25844分

5樓

2018-09-19 0:23

你把 NAS 直接對外不被一直掃才是奇怪

第一：他只要掃IP 有PING 回應就列入可攻擊名單
第二：他測試IP 看能從WEB看到啥，看到你是NAS介面當然死不放一直打你

NAS、PC 等設備都要在路由器、防火牆、WIFI 分享器下，
在開NAT對應Port 去使用，若你直接對外就是活該被打而已，永遠擋不完。

路由器、wifi AP、防火牆要把對外PING 回應關閉才不會被掃，並設定對外管理Web介面+Port。

chunjoe

chunjoe
個人積分：66分
文章編號：70181081

66分

6樓

2018-09-19 10:09

我自己是設定一天（最長時間的那個選項）錯幾次就ban永久
因為後來發現email服務被try密碼try 的很恐怖
不同ip輪流try，我看log檔發現同一個ip一兩個小時才出現一次
另外，我只允許台灣ip可以連線，這樣可以少很多嘗試登入的log

ulimie

ulimie
個人積分：1910分
文章編號：70181519

1910分

樓主

2018-09-19 10:40

這樣的思考邏輯不見得合乎現實的世界，而且不是在下提出這個案件的本意。

首先，掃 PORT 並不是網路攻擊的必要條件，第二，防火牆的掃 port 攔阻雖然是個不錯的方式，但也只能像在海關把守或是機場安檢減少事故而已，卻防不了其他的方式，比方說滲透....。

思考一下為什麼真實的世界裡 911 事件會發生，就知道小弟今天在這裡提出的是類似 911 那樣已經兵臨城下時，你的防線堅固可靠性而已。檢討發生在國內本土的 911 案例可不能還停留在防火牆那邊那樣簡單，美國在已經發生過 911 之後，也還是有一些事件對吧....

至於 NAS 直不直接對外，也不是在這裡要提的重點，防火牆只要開了 port 就是直接對外，不會有什麼差別，(對小弟這次的事件，也不過就是開了個 SFTP 的 port)，門開多開少扇而已，關鍵是有門就一定有人會來敲門，所以，在下在這裡的重點是，有人來敲門了，你怎麼應對？而不是怎麼不讓人來敲門(除非是封閉性的系統)。

我並不耽心有人來敲門，而是怎樣 anti-hammering 。

npc

npc
個人積分：856分
文章編號：70182907

856分

8樓

2018-09-19 12:00

ulimie wrote:
您的設定，在我上述的例子裡，可能在 08/09-2300 - 08/10-0005 破功一次。
我說 "可能" 是因為前面還有行動，如果沒有前面(後面?)的記錄呢?

您說的時間是特例，真要說那改成24小時內也可以，而且您的例子有點搞笑，對方甚至都不換ip還一直踹，呵呵

我以為您會問：假設對方每錯兩次，對方就換ip重踹怎麼預防，哈…

Metrostar Ghia-Limited 225/45/R17　　　power by MMC!

ulimie

ulimie
個人積分：1910分
文章編號：70183208

1910分

樓主

2018-09-19 12:21

npc wrote:
而且您的例子有點搞笑，對方甚至都不換ip還一直踹

哈哈... 搞不搞笑是其次的事，重點是：這是真實的事實。

npc wrote:
假設對方每錯兩次，對方就換ip重踹怎麼預防

在這個世界，這樣的事很難說不會發生，現成的例子就是一堆免空玩家一直在換 IP，一樣的手法狀況，做不同的事而已。

在下多年來隨手的設定也一直沒碰過這樣的事，大都可以在幾分鐘內就把人踢掉了，所以也一直不以為意沒把這個放在心上，終於碰上一個有耐心 try 密碼的的(閒人)?

顯然，您這樣的顧慮真的難說有一天也會要像 DDoS 那樣去對抗，誰又知道呢....?
回看一下 #6 樓的 c大，不就說 "不同ip輪流try" 了嗎?

ryanku

ryanku
個人積分：786分
文章編號：70184000

786分

10樓

2018-09-19 13:19

家用途的NAS屬於私人的網域, 會主動連上的多是自家人, 所以我設定10分鐘內錯3次就鎖進黑名單, 再搭配白名單使用, 真有意外, 給我一個電話或訊息解除就好

以前給ping時, 一天鎖數十個ip, 後來不給ping後, 大概就幾天一個鎖ip的通知 rock