最近發現,有大陸IP過來try帳號密碼

我防護機制設定為30分鐘內失敗5次則IP永久封鎖(如下圖)

但是發生有人在try帳號密碼,他竟然在不到1分鐘內try,19次才鎖住他IP

QNap 網路防護系統的問題


QNap 網路防護系統的問題


QNap 網路防護系統的問題

已經回報給QNAP問題了

不過QNAP有回復如下:
1秒鐘內就有多個帳號登入,在11:58:09, 11:58:10, 11:58:16, 11:58:17, 11:58:18,
系統會以這5次時間做計算來封鎖IP。

而mail則是每5筆相同警告log就會送一封警告訊息。

我也有回復再告訴他這明顯就是一個BUG(說會回覆給RD去看,但不知道結果會怎樣)

請大家要多加小心,因為這個問題(有心人只要透過一組IP就可以嘗試妳很多組密碼了)
看起來好像是因為不同帳號的關係,所以到了第19次才滿足5個同帳號同IP在,30分鐘內

az126001 wrote:
看起來好像是因為不同帳號的關係,所以到了第19次才滿足5個同帳號同IP在,30分鐘內...(恕刪)


這是原本 qnap 防護設計的做法嗎? 照理說是同個 IP 不管用什麼帳號, 只要是用相同的 protocol 來攻擊, 滿足條件就應該 block 才對.
FB: Pctine
FTP沒用到最好關了
上次出國五天回來時也是看到各種帳號踹我FTP的紀錄
也是很少被鎖起來的紀錄 帳號會換來換去
有時候還會換IP再來
後來關掉FTP後 紀錄就沒有再出現了

說不定有人在刻意針對QNAP
不知道有沒有漏洞引起攻擊
pctine wrote:
這是原本 qnap 防護設計的做法嗎? 照理說是同個 IP 不管用什麼帳號, 只要是用相同的 protocol 來攻擊, 滿足條件就應該 block 才對.


不是喔...他是算筆數的,跟帳號不同沒關係,這點很確定,盲點是1秒內只能算一筆

應該是說,他現在作法只能,1秒裡面同個IP只能算一筆(同IP不管多少次,1秒內就是算一次)

所以跟它字面上設計條件根本不符,更進階說叫BUG



saber11 wrote:
FTP沒用到最好關了
上次出國五天回來時也是看到各種帳號踹我FTP的紀錄
也是很少被鎖起來的紀錄 帳號會換來換去
有時候還會換IP再來
後來關掉FTP後 紀錄就沒有再出現了

說不定有人在刻意針對QNAP
不知道有沒有漏洞引起攻擊


就是有用到拉,不然早關了

其實我本來防護系統裡面封鎖的IP很多組

好像是更新4.2.1之後,不知道為啥裡面IP都被清掉

我其實都會進去看,只要那種來try帳號密碼,沒答到條件我一律手動再加進去封鎖
我都開 只允許以下網域或IP
不給他機會TRY

tan00629 wrote:
不是喔...他是算筆數的,跟帳號不同沒關係,這點很確定,盲點是1秒內只能算一筆

其實有時候在短時間內大量的連線要求,系統也會來不及反應。

最常碰到的就是對方使用 POP3 或是 IMAP 來猜帳密,因為一秒內可能有數十上百個連線,根本來不及防堵。對這方面也很困擾,因此我目前的做法是除非有必要,否則能關的服務就關閉。

至於開啟的服務,若能限定 IP 或是可限定 地區的,就給他限定,免得當箭靶。

a19560714 wrote:
最常碰到的就是對方使用 POP3 或是 IMAP 來猜帳密,因為一秒內可能有數十上百個連線,根本來不及防堵。對這方面也很困擾,因此我目前的做法是除非有必要,否則能關的服務就關閉。...(恕刪)


這部份在 mail server POP3 & IMAP concurrent 連線數的設定就決定了, 超出的連線需求不會被接受.
FB: Pctine
a19560714 wrote:
其實有時候在短時間內大量的連線要求,系統也會來不及反應。

最常碰到的就是對方使用 POP3 或是 IMAP 來猜帳密,因為一秒內可能有數十上百個連線,根本來不及防堵。對這方面也很困擾,因此我目前的做法是除非有必要,否則能關的服務就關閉。

至於開啟的服務,若能限定 IP 或是可限定 地區的,就給他限定,免得當箭靶。


你的說法我能接受

但是以我的log來看,9秒 10秒 16秒 17秒 18秒

中間也隔了9秒之多...一台i3CPU的機器,來不及反應9秒內這19筆?

中間也間隔好幾秒(10秒到16秒之間有5秒間隔),但是它就是把1秒內都算一筆阿

不然幾秒過後了怎麼還沒鎖一定要他試了第5秒才作動?(1秒一筆所以5秒才算5筆)


我懷疑的地方就是他要是沒繼續試第5秒,會不會就沒作動了呢?

tan00629 wrote:
你的說法我能接受
但是以我的log來看,9秒 10秒 16秒 17秒 18秒
中間也隔了9秒之多...一台i3CPU的機器,來不及反應9秒內這19筆?

我所說的 來不及 反應,是你從 log 檔案內,很難看出何時開始封鎖。
舉例來說,我設定 pop3 只要一個 IP 超過 5 個連線就開始拒絕,但是他在1秒內,丟出成千上百個連線請求,都使用不同的 ID 和密碼,這時候你在紀錄檔內會先看到成千上萬個連線,然後又看到幾個帳號密碼錯誤的紀錄(這時自動封鎖應該還沒有啟動,可能會等個一兩秒的反應時間),然後就看到成千上萬個被連線pop3 server 依照規則設定,超過5個連線就拒絕的訊息......假設這種自動封鎖不是設在防火牆的最前面給濾掉,該IP還是可繼續的測試,只是一再被拒絕連線而已。而此部分或許該被列入 DOS 干擾機制內,但很可惜的,好像目前有某些顧慮,都沒被加入。

目前 Synology 的作法是將 pop3 和 imap 的 log 排除在 maillog 之外,眼不見為淨。若將他打開,還可三不五時的看到好幾小時的好戲。

因此還是再次強調,能不開放的服務,就不要開放,能限定區域的服務,就限定區域,例如 我現在就將 imap 限定在區網內只提供 webmail 去使用,至於 pop3 就限定只有 台灣 的IP可以使用。這是我使用 synology 機器能做到的最大限度,其他我就不清楚了。
關閉廣告
文章分享
評分
評分
複製連結

今日熱門文章 網友點擊推薦!