Então pessoal, como relatei antes.. a tentativa vem de IPs diferentes a cada tentativa. Já tentei fail2ban, porém como a solicitação é feita cada vez de um IP diferente, fica inviável bloquear na primeira tentativa errada. Assim eu acabaria bloqueando muitos clientes reais que erram a senha inocentemente.
Em 5 de agosto de 2011 17:13, Marcelo Estanislau <marc...@standardnet.com.br > escreveu: > Olá, > > Perfeitamente, agora entendemos que o seu problema é que você está > recebendo ataques no serviço de correio eletrônico. Como já mencionado pelos > colegas, fail2ban resolverá o seu problema, bloqueando o ip do atacante se a > autenticação falhar por mais de "n" vezes, você só precisa definir essa > regra no fail2ban. > > > Abraços, > > Marcelo Estanislau Geyer > marc...@standardnet.com.br > Standard Net Tecnologia > http://www.standardnet.com.br > -- > PGP Key: keys.gnupg.net - ID 468EA3A4 > > Em 05-08-2011 16:56, Esdras La-Roque escreveu: > > Deixa eu tentar explanar melhor o meu problema, em específico. vamos lá.. >> >> Tenho um smtp autenticado (saslauthd), que verifica as credenciais em um >> host remoto (mecanismo rimap). Sendo assim, ele recebe a requição de >> autenticação e gera um processo que aguarda a resposta do servidor acerca >> da >> validade das credenciais. Se as credenciais forem inválidas, tanto senha, >> quanto usuário inexistente, esse "acesso remoto" se torna um "disperdício" >> de recursos locais e de rede. >> >> Pois bem, o problema é que o ataque é feito na autenticação com a mesma >> conta (credencial de username que já nem existe), de IPs diferentes e com >> uma frequência com média de 10 tentativas por segundo. Isso consome >> recursos >> locais e de rede, as vezes até causando negação de serviço. >> De maneira geral, a intenção não é quebrar a senha de uma conta, pois a >> conta já não existe mais. A intenção é a negação de serviço, e como a >> única >> informação repetida que possuo no ataque é o login informado. Queria ver >> alguma forma de identificar a partir dele e parar todo o processo de >> autenticação, livrando os recursos que são usados para retornar a mensagem >> de falha de login o tempo todo. >> >> >> Em 5 de agosto de 2011 15:25, Gabriel Ricardo<gricard...@gmail.com>** >> escreveu: >> >> é o favil2ban trabalha com eventos e açoes, baseado em regexp em cima de >>> logs, pode fazer oq sua mente permitir. >>> >>> Atenciosamente, >>> *Gabriel Ricardo.* >>> *Skype:* gricardo87 >>> *MSN:* gricard...@gmail.com >>> *Twitter:* twitter.com/gricardo87 >>> *Blog:* www.tinotapa.com.br >>> >>> >>> >>> >>> Em 5 de agosto de 2011 15:21, Reinaldo de Carvalho >>> <reinal...@gmail.com>escreveu: >>> >>> 2011/8/5 Esdras >>> La-Roque<esdras.laroque@gmail.**com<esdras.laro...@gmail.com> >>>> >: >>>> >>>>> Na realidade, queria ver se alguém tinha alguma ideia parecida com >>>>> >>>> isso. >>> >>>> O fail2ban não me serve no momento. Quero conter um ataque de DDoS, em >>>>> >>>> que o >>>> >>>>> atacante usa IPs diferentes a cada tentativa de autenticação, aí saí do >>>>> escopo do fail2ban. Não posso limitar o fail2ban para 1 tentativa >>>>> >>>> errada, >>> >>>> assim eu teria muitos falsos positivos. Mas valeu a intenção. >>>>> >>>>> >>>> Se cada tentativa vem de IPs distintos, e o alvo é um determinado >>>> usuário, uma solução drástica seria bloquear a conta temporariamente >>>> (30 min?) após um determinado número de tentativas, onde o poderia-se >>>> usar o fail2ban para bloquear, e um outro determinado script para >>>> desbloquear. >>>> >>>> -- >>>> Reinaldo de Carvalho >>>> http://korreio.sf.net >>>> http://python-cyrus.sf.net >>>> >>>> "While not fully understand a software, don't try to adapt this >>>> software to the way you work, but rather yourself to the way the >>>> software works" (myself) >>>> ______________________________**_________________ >>>> Postfix-BR mailing list >>>> Postfix-BR@listas.**softwarelivre.org<Postfix-BR@listas.softwarelivre.org> >>>> http://listas.softwarelivre.**org/mailman/listinfo/postfix-**br<http://listas.softwarelivre.org/mailman/listinfo/postfix-br> >>>> >>>> ______________________________**_________________ >>> Postfix-BR mailing list >>> Postfix-BR@listas.**softwarelivre.org<Postfix-BR@listas.softwarelivre.org> >>> http://listas.softwarelivre.**org/mailman/listinfo/postfix-**br<http://listas.softwarelivre.org/mailman/listinfo/postfix-br> >>> >>> ______________________________**_________________ >> Postfix-BR mailing list >> Postfix-BR@listas.**softwarelivre.org<Postfix-BR@listas.softwarelivre.org> >> http://listas.softwarelivre.**org/mailman/listinfo/postfix-**br<http://listas.softwarelivre.org/mailman/listinfo/postfix-br> >> >> ______________________________**_________________ > Postfix-BR mailing list > Postfix-BR@listas.**softwarelivre.org<Postfix-BR@listas.softwarelivre.org> > http://listas.softwarelivre.**org/mailman/listinfo/postfix-**br<http://listas.softwarelivre.org/mailman/listinfo/postfix-br> > _______________________________________________ Postfix-BR mailing list Postfix-BR@listas.softwarelivre.org http://listas.softwarelivre.org/mailman/listinfo/postfix-br
