use o fail2ban, crie um regra especifica pra ele e bloqueia com 1 tentativa errada.
Atenciosamente, *Gabriel Ricardo.* *Skype:* gricardo87 *MSN:* gricard...@gmail.com *Twitter:* twitter.com/gricardo87 *Blog:* www.tinotapa.com.br Em 5 de agosto de 2011 16:56, Esdras La-Roque <esdras.laro...@gmail.com>escreveu: > Deixa eu tentar explanar melhor o meu problema, em específico. vamos lá.. > > Tenho um smtp autenticado (saslauthd), que verifica as credenciais em um > host remoto (mecanismo rimap). Sendo assim, ele recebe a requição de > autenticação e gera um processo que aguarda a resposta do servidor acerca > da > validade das credenciais. Se as credenciais forem inválidas, tanto senha, > quanto usuário inexistente, esse "acesso remoto" se torna um "disperdício" > de recursos locais e de rede. > > Pois bem, o problema é que o ataque é feito na autenticação com a mesma > conta (credencial de username que já nem existe), de IPs diferentes e com > uma frequência com média de 10 tentativas por segundo. Isso consome > recursos > locais e de rede, as vezes até causando negação de serviço. > De maneira geral, a intenção não é quebrar a senha de uma conta, pois a > conta já não existe mais. A intenção é a negação de serviço, e como a única > informação repetida que possuo no ataque é o login informado. Queria ver > alguma forma de identificar a partir dele e parar todo o processo de > autenticação, livrando os recursos que são usados para retornar a mensagem > de falha de login o tempo todo. > > > Em 5 de agosto de 2011 15:25, Gabriel Ricardo <gricard...@gmail.com > >escreveu: > > > é o favil2ban trabalha com eventos e açoes, baseado em regexp em cima de > > logs, pode fazer oq sua mente permitir. > > > > Atenciosamente, > > *Gabriel Ricardo.* > > *Skype:* gricardo87 > > *MSN:* gricard...@gmail.com > > *Twitter:* twitter.com/gricardo87 > > *Blog:* www.tinotapa.com.br > > > > > > > > > > Em 5 de agosto de 2011 15:21, Reinaldo de Carvalho > > <reinal...@gmail.com>escreveu: > > > > > 2011/8/5 Esdras La-Roque <esdras.laro...@gmail.com>: > > > > Na realidade, queria ver se alguém tinha alguma ideia parecida com > > isso. > > > > O fail2ban não me serve no momento. Quero conter um ataque de DDoS, > em > > > que o > > > > atacante usa IPs diferentes a cada tentativa de autenticação, aí saí > do > > > > escopo do fail2ban. Não posso limitar o fail2ban para 1 tentativa > > errada, > > > > assim eu teria muitos falsos positivos. Mas valeu a intenção. > > > > > > > > > > Se cada tentativa vem de IPs distintos, e o alvo é um determinado > > > usuário, uma solução drástica seria bloquear a conta temporariamente > > > (30 min?) após um determinado número de tentativas, onde o poderia-se > > > usar o fail2ban para bloquear, e um outro determinado script para > > > desbloquear. > > > > > > -- > > > Reinaldo de Carvalho > > > http://korreio.sf.net > > > http://python-cyrus.sf.net > > > > > > "While not fully understand a software, don't try to adapt this > > > software to the way you work, but rather yourself to the way the > > > software works" (myself) > > > _______________________________________________ > > > Postfix-BR mailing list > > > Postfix-BR@listas.softwarelivre.org > > > http://listas.softwarelivre.org/mailman/listinfo/postfix-br > > > > > _______________________________________________ > > Postfix-BR mailing list > > Postfix-BR@listas.softwarelivre.org > > http://listas.softwarelivre.org/mailman/listinfo/postfix-br > > > _______________________________________________ > Postfix-BR mailing list > Postfix-BR@listas.softwarelivre.org > http://listas.softwarelivre.org/mailman/listinfo/postfix-br > _______________________________________________ Postfix-BR mailing list Postfix-BR@listas.softwarelivre.org http://listas.softwarelivre.org/mailman/listinfo/postfix-br
