※ 引述《ddjack (CKK)》之铭言： : 公司的MAIL Server是CentOS 平台然後安装外购的MAIL SEVER运作 : 前阵子发现常常有外部IP使用SMTP在尝试登入公司某些主管的帐号 : 後来使用FAIL2BAN终於减少这样的状况 : 但是骇客的攻击也越来越高明 : 本来类似一小时测试10几次 : 我用FAIL2BAN 设定 10分钟登3次就BAN IP : 他就会进化成 30分钟登三次 : 有时候我也看LOG 把一些零星的攻击IP都BAN掉 : 结果最近这种攻击开始出现最新的进化 : 虽然他目前是都登入一个公司不存在的帐号 : 然後每格大约10分钟 : 但是他现在的IP都是非常不固定而且每个IP就只有尝试登入一次就更换IP : 想请问这样的攻击模式有阻挡的可能吗 : 我看IPTABLES 设定只能设定IP的范围好像不能挡住某些帐号的登入 这个喔，我自己架来玩的小mail server也有遇到SMTP攻击的状况 fail2ban其实还是太温和了 ban完一段时间就会放出来 所以直接用firewall锁IP更好用 我不是一个一个IP锁 先查攻击来源的IP在哪一国 很少是台湾本土IP来攻击的 欧洲俄罗斯跟中国才是大宗来源 如果你的公司跟这些国家没有来往 其实直接ban整个IPS区段很好用 x.x.x.0/24 或x.x.0.0/16 直接ban一个c段或b段ip range 然後你就会觉得世界整个清静下来了 XDDDDD 我是很希望能有方便速查的各国IP区段范围啦 一堆垃圾国家根本不可能往来的直接BAN掉 报案根本没屁用，台湾警察又管不到国外 来源我查过有荷兰，俄罗斯，土耳其，罗马尼亚，中国.... 直接大区块BAN掉才没烦恼 一个一个IP慢慢处理，哪来的美国时间跟性命啊 攻击IP虽然不固定，可是几乎都在同个subnet底下 毕竟一直换IP攻击也是需要成本的 大多数都是在同一个class c subnet之内 偶而看到class b subnet的，但很少见 ban掉这些拉机IP区段很好用 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 220.133.51.88 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Linux/M.1595093411.A.A78.html