※ 引述《ddjack (CKK)》之銘言： : 公司的MAIL Server是CentOS 平台然後安裝外購的MAIL SEVER運作 : 前陣子發現常常有外部IP使用SMTP在嘗試登入公司某些主管的帳號 : 後來使用FAIL2BAN終於減少這樣的狀況 : 但是駭客的攻擊也越來越高明 : 本來類似一小時測試10幾次 : 我用FAIL2BAN 設定 10分鐘登3次就BAN IP : 他就會進化成 30分鐘登三次 : 有時候我也看LOG 把一些零星的攻擊IP都BAN掉 : 結果最近這種攻擊開始出現最新的進化 : 雖然他目前是都登入一個公司不存在的帳號 : 然後每格大約10分鐘 : 但是他現在的IP都是非常不固定而且每個IP就只有嘗試登入一次就更換IP : 想請問這樣的攻擊模式有阻擋的可能嗎 : 我看IPTABLES 設定只能設定IP的範圍好像不能擋住某些帳號的登入 這個喔，我自己架來玩的小mail server也有遇到SMTP攻擊的狀況 fail2ban其實還是太溫和了 ban完一段時間就會放出來 所以直接用firewall鎖IP更好用 我不是一個一個IP鎖 先查攻擊來源的IP在哪一國 很少是台灣本土IP來攻擊的 歐洲俄羅斯跟中國才是大宗來源 如果你的公司跟這些國家沒有來往 其實直接ban整個IPS區段很好用 x.x.x.0/24 或x.x.0.0/16 直接ban一個c段或b段ip range 然後你就會覺得世界整個清靜下來了 XDDDDD 我是很希望能有方便速查的各國IP區段範圍啦 一堆垃圾國家根本不可能往來的直接BAN掉 報案根本沒屁用，台灣警察又管不到國外 來源我查過有荷蘭，俄羅斯，土耳其，羅馬尼亞，中國.... 直接大區塊BAN掉才沒煩惱 一個一個IP慢慢處理，哪來的美國時間跟性命啊 攻擊IP雖然不固定，可是幾乎都在同個subnet底下 畢竟一直換IP攻擊也是需要成本的 大多數都是在同一個class c subnet之內 偶而看到class b subnet的，但很少見 ban掉這些拉機IP區段很好用 --

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.133.51.88 (臺灣) ※ 文章網址: https://webptt.com/m.aspx?n=bbs/Linux/M.1595093411.A.A78.html