몇 분 동안 2~3초마다 시스템 로그에 다음 패턴이 표시됩니다.
Shorewall:net2fw:DROP:IN=eth0 OUT= MAC=aa:bb:cc:dd:ee:ff:gg:hh:ii:jj:kk:ll:mm:nn SRC=12.34.56.78 DST=98.76.54.32 LEN=60 TOS=0x00 PREC=0x00 TTL=41 ID=12746 DF PROTO=TCP SPT=41611 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0
여기서 ID와 SPT의 값은 각 행마다 다릅니다. 서버는shorewall및fail2ban을 갖춘 Debian 6.0입니다.
무슨 일이 일어나고 있는지 범위를 좁히고 Fail2ban 및 Shorewall을 사용하여 이 문제를 더 잘 예방하려면 어떻게 해야 합니까?
답변1
내 솔루션은 Fail2ban 필터를 사용했습니다.
failregex = DROP:IN=eth0 OUT= MAC=[a-zA-F0-9:]+ SRC=<HOST> DST=([0-9]{1,3}\.?){4} LEN=
DROP:IN=eth0 OUT=vmbr0 SRC=<HOST> DST=([0-9]{1,3}\.?){4} LEN=
에 추가하다/etc/fail2ban/filter.d/sshd-ddos.conf
SSH 포트에서 이러한 요청을 금지합니다.