我的一台服务器刚刚遭受了一系列 pop3-login 攻击。令我惊讶的是 fail2ban 没有阻止这些攻击,然后我意识到该服务正在监听多个 IP 地址,而攻击者正在向所有 IP 地址发起攻击。Fail2ban 只阻止了我的第一个 IP。
fail2ban 有一个 myip=xyza 设置,但它似乎不能接受多个值。有办法设置吗?
答案1
哎呀!我的假设错了。我仔细看了看。fail2ban 不会阻止本地 IP,而是正确地阻止源。无需配置多个 IP 地址。
问题似乎是他们每秒进行数十次尝试。
2012-07-26 10:41:25,771 fail2ban.actions: WARNING [dovecot-pop3imap] Ban 74.63.241.177
2012-07-26 10:41:27,825 fail2ban.actions: WARNING [dovecot-pop3imap] 74.63.241.177 already banned
2012-07-26 10:41:28,827 fail2ban.actions: WARNING [dovecot-pop3imap] 74.63.241.177 already banned
2012-07-26 10:41:30,829 fail2ban.actions: WARNING [dovecot-pop3imap] 74.63.241.177 already banned
在 fail2ban 做出响应之前,进程数量就足够多了。攻击的规模和跨多个 IP 的传播让我措手不及。