数分間、2〜3秒ごとにシステムログに次のパターンが表示されます。
Shorewall:net2fw:DROP:IN=eth0 OUT= MAC=aa:bb:cc:dd:ee:ff:gg:hh:ii:jj:kk:ll:mm:nn SRC=12.34.56.78 DST=98.76.54.32 LEN=60 TOS=0x00 PREC=0x00 TTL=41 ID=12746 DF PROTO=TCP SPT=41611 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0
ここで、IDとSPTの値は各行ごとに異なります。サーバーはshorewallとfail2banを備えたDebian 6.0です。
何が起こっているのかを絞り込み、Fail2banとShorewallを使用してこの問題をよりよく防止するにはどうすればよいですか?
ベストアンサー1
私のソリューションはFail2banフィルタを使用しました。
failregex = DROP:IN=eth0 OUT= MAC=[a-zA-F0-9:]+ SRC=<HOST> DST=([0-9]{1,3}\.?){4} LEN=
DROP:IN=eth0 OUT=vmbr0 SRC=<HOST> DST=([0-9]{1,3}\.?){4} LEN=
に追加する/etc/fail2ban/filter.d/sshd-ddos.conf
SSHポートでこれらの要求を禁止します。