いつまでも無くならないサーバーへのアタック

懲りないな〜と。。

Cent6で可動しているサーバーがあります。

さるきっかけが有り、ここのアタック対策をまじめに開始しました。

セカンダリーのDNSも動いてるんで、まずはDNSへのアタック対策。

再帰問い合わせとか基本的なことをして、あとはiptableでの制限。

-A RH-Firewall-1-INPUT -p udp –dport 53 -j DROP -sxxxx.xxxx.xxxx.0/24

な感じで進めていきました。

IPアドレスを調べてみると、お国柄としてはCNが中心(^^;

まぁ、予想されたことですが。。。

ある時から流れが変わった。。。

しばらくやってると、パタッとDNSへのアタックが止まりました。

と同時に、FTPへのアタックと、SSHへのアタックが増加。。

いままで、SSHなんて、ほぼなかったのに。。

こちらのほうは、iptablesの方で、連続したアタックの制限をしています。

で、FTPはというと。。。。

IPアドレスのお国柄としては、あいかわらずCNが中心orz

幸い利用者で、CNからアクセスしてくる人はいないので、もういっそ、CNからのは全部止めてやろうかと思い、調べていたら。。。

なんと、お国ごとに割り当てられたIPアドレスの一覧に出会いました。

「国別 IPアドレス」

なんかで探せば、あれこれ出てきます。

しかもiptableで利用しやすいように整形されたものまで。。

ただ、尋常じゃない行数。。。

しかも、iptableって行数の上限があるそうな。。

で、結局どうすんの。。。

今のところはちまちまルールの追加をしています。。

っが、ipsetってのがあることを最近発見！！

今度使ってみようと画策中です。

また結果報告します(^^)