https://stackoverflow.com/questions/479233
-
20-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian質問
最初、ちょっと背景:では私が実施auth+authシステムCodeIgniter、これまで私が勝で.もっ走るか非自明な課題(一になるauth図書館を逃すべて、私の主張の取扱い):どのように対処能と 大規模、配布、変数のユーザ名は、ブルートフォース攻撃.
いすべての通常の技:
- 制限#の試みが失敗に終わったたIP/host とを否定する犯罪者のアクセスなどFail2Ban)な作品 以来、botnetsてスマート
- 組み合わせの上、 ブラックリスト名"悪い"IPs/hosts (例:DenyHosts)に依存してbotnetsの下落のための#1, そのまん
- IP/ホwhitelists と伝統auth(残念なとダイナミックIPユーザーの高解約率がほとんどのウェブサイト)
- の設定 sitewide制限 ネットワークに接続しているの試みが失敗に終わった内N分/時期、対側(停止)すべてのログインの試みその後多くの分/時間の問題をDoS攻撃おとなボットネット子供の遊び)
- 必須 デジタル署名 (公開鍵証明書)またはRSAハードウェアトークンのためのすべてのユーザーとのないログインパスワードオプションに問題がなければロック-固溶体からなるもののみ実践のための、専用のサービス)
- 施行 超強力スキームパスワード (例:>25のナンセンスの文字と記号-再ものは現実的でカジュアルユーザー)
- 最後に、 CAPTCHAs (できる仕事のほとんどの場合、がんのためのユーザー ほとんど役には立たなかっ に対する を決定し、攻撃者に恵ま)
では、これらを理論的には可能なのアイデア。があり たっぷり みのアイデアブローのサイト開例になDoS攻撃).いますので助かっています。とにより、より良いん:
すのでご安心(+)反DoSおよび、ブルートフォース攻撃なるものがあるので、脆弱性そのものを少しsneakierボット事業継続のレーダー
で自動的に実行されます。するにあたっては,操作者のイメージの確認各ログインを監視したり、不審な活動ではなく、実世界シナリオ
では、実現可能なものが主流web利用する計画です。高解約率、高容量、登録することができる非プログラマー)
することはできな支障のユーザーのカジュアルユーザーは腹を立苛立(潜在的に放棄のサイト)
なな子猫い かの確保 子猫
(+) より安全"にしたがってあることを意味するものでは少なくとも安全と被害妄想ユーザの能力をしている場合であっても、パスワードを秘密に
で聞きましょう! かいま?いの-ベストプラクティスのことをいう(あおっしゃってくださいまdo)?いいえ自分の(組み合わせアイデアから3および4)さんの真の専門家の前でお話す恥ずかしい思;-)
解決
すべての権利、失;こんどろ風mikiモデルを作ってみっこ
(すいません、長いポスト。さと勇ましく、友人との旅の見通しです)
組み合わせ方法3 4からオリジナルポストへのファジィ"または動的whitelist、そして、このフレキシビリティ- ないブロック非whitelisted IPs、側への敵.
この措置の のみ こ訪この特定の種類の攻撃をします。実際にはもちろん、仕事と組み合わせその他のベスト-実践的auth:固定側のユーザー名は、ホームページからダウンロード側コードネームの施行を強いパスワード政策unthrottledクッキーのログイン、ハッシュすべてのパスワード等を入力してからデータを保存しない用安全保障問題、など。
を考える攻撃シナリオ
場合、攻撃者が対象の変数のユーザ名、ユーザー名側ません。場合、攻撃者はボットネットまたはアクセスできる大型のIPアドレスの範囲、弊社のIP側は無力です。場合、攻撃者が事前に削社userlist(通常可能でオープン-web登録サービス)できませんの検出を継続的に攻撃に基づく数'ユーザが見つかりませんで'ます。とした場合の執行の制限的なシステム全体(すべてのユーザ名、IPs)に対側の攻撃DoS当サイトの攻撃に対側ます。
今必要なのは、地下鉄からも近くて便利。
最初の部分の対策ホワイトリスト登録
私たちができないので、攻撃者はできるので動的に作妨害のIPアドレスの数千人のユーザー(+).る ホワイトリスト登録 が可能になる。言い換えればユーザーごとに、店舗のリスト(ハッシュされた)IPsから、ユーザーが以前にてログインします。
このように、当社のホワイトリスト登録制度としての機能ロック"フロントドア、ユーザーを接続する必要があらかの認識"良い"IPsのためのログインします。る力攻撃がこの"フロントドア"が現実的に不可能であ(+).
(+)ない限り、攻撃者は'所有して'のいずれかのサーバにすべてのユーザーのボックス、または接続そのもので、その場合しなくなって、'認証'問題にして本基盤サイズの引きのプラグインFUBAR状況
第二部の対策システム全体の側 過去勤務債務のIPs
するために、whitelist作業展開するプラットフォーム登録webサービスは、ユーザーのスイッチコンピュータの頻度および/または接続からのダイナミックIPアドレスについては、常に"猫の扉を開く"ためのユーザーから接続認識。フレキシビリティをデザインのドアでbotnetsのため、正当なユーザーの悩み した場合に作動します。.
私のスキームは、この設定 非常に 制限の最大数に失敗したログインが試みる未承認IPsえください"と言っていたら、3時間の期間という名称になっています賢く利用期間の短期間に応じてユーザーにどのようなサービス)、その制限 グローバル, 吟味した。すべてのユーザます。
でも遅い(1~2分間の試み)力が検出され妨げ迅速かつ効果的にできるでしょうか。もちろん、 があり 力が残ると主張し、それを裏も遅い速度の敗戦の目的は力攻撃ができます。
思いをこ側機構をした場合には、上限に達して猫の扉'博閉じたら、玄関を残して正当なユーザーの接続による通常の意味:
- のいずれかから接続を認められIPs
- を使用することにより持続ログインにクッキー(どこからでも)
唯一の正当なユーザーに影響を与えることもあると思う時、攻撃力が打ち出されている。-の側活性化したいユーザーでなく永続的なクッキーのログインしたログインからの未知の場所やダイナミックなまで高められる予定である。ユーザーの動きにログインまで対側着ていたオフ(できるでしばらく時間がかかる場合、攻撃者がそのボットネット走行でも側).
めにこの小さなサブセットのユーザーズのその他の密閉された猫のドアながらもボットは打ちき離れでは、雇用の"のバックアップ'ログイン形状を画像認証.そのとき表示の"申し訳ございません、あなたのうまくログインできないからこのIPアドレスの"メッセージなどというリンク"バックアップにログイン-人間のみボット:無添い寝)".冗談はさておきのクリックするリンクを与えるreCAPTCHA-認証ログインフォームを回避するにはサイト全体に対側.そのような人と知り、正しいログイン+パスワードを閲覧することができるCAPTCHAs) ない 拒否するサービスの場合でも、思いが通じているのだから未知のホストを使用しないautologinク。
ああ、明:私検討CAPTCHAsは総じて悪のバックアップ'ログインオプション のみ 表示され な側で活躍した.
ることは否定できない持続的な攻撃のようなもので構成するのDoS攻撃に記載のシステム、うのみに影響を与えう疑する小さなサブセットのユーザーにとっていない人の利用ログイン情報を記憶させる"とクッキーとなるログインが攻撃が起こっていないのと、ログインからも、通常のIPs者と読むことができないCAPTCHAs.いただいている方のみとなっているすべての基準を具体的には、ボットや 本当に不幸 障がい者-がなくなり、ボットの攻撃ができます。
編集: Actully思ったのでようとする試みであったとも言えるようにも"とチャレンジユーザのパスを通じての間を"固定':ではなく、補完するものとして、バックアップ用画像認証ログインユーザに提供しオプションにはシングル利用し、ユーザー固有の固定コードの送信のメールは、その利用への対側バイパスさせる.この違を越私の"迷惑'閾値が、そうでなくても、このとしてだけ使用されます 最後のリゾート 小さいサブセットのユーザーでもビートロックのアカウントでは普通だと感じました。
(もしご注意 なし このなかった場合には、攻撃は以下の高度化の手配布版んでご覧いただけます。場合に攻撃が来からやIPs細胞のみを打つ数ユーザーネームまでを妨げ早くから、 no サイト全体の影響)
ということは、その対策となりますの実施っauth図書館では、一度ものだと思うんで音がないように解決する私見です。現実には、多くの微妙な違いセキュリティの見たいな方法が良いと思います上記の虚偽の前提やhopelessly欠陥のある論理です。だから、他べてのフィードバックに対する批判や改善、機微など。賜りますよう、よろしく
他のヒント
いくつかの簡単な手順ます:
一定の共通のユーザ名をブラックリスト、およびハニーポットとしてそれらを使用しています。管理者、ゲスト、等...誰かがあなたはそれが誰かが、彼らはいけない何かをやっている知っている中で、それらをログに記録しようとしないので、もし誰もが、これらの名前を持つアカウントを作成してはいけません。
サイト上の本当の力を持っている誰もが安全なパスワードを持っていることを確認してください。文字、数字、記号の組み合わせで長いパスワードを持っている管理者/モデレータを必要とします。説明と通常のユーザーから自明簡単なパスワードを拒否します。
あなたができる最も簡単なことの一つは、それはそれではなかった場合、誰かが自分のアカウントにログインしようとしたときに人々に伝えると、彼らに事件を報告するためのリンクを与えることです。 彼らは「誰か4:20 AM水曜日何とか何とかであなたのアカウントにログインしてみました。これがあなたでなかった場合は、こちらをクリックしてください。」のようにログインし、簡単なメッセージそれはあなたが攻撃の統計のいくつかを保つことができます。あなたは詐欺的なアクセスの急激な増加があることを見ている場合は、監視やセキュリティ対策をステップアップすることができます。
理解しているMOの総当り攻撃を適切に、一つ以上のユーザ名にどのようにしてます。
が提案するとは思わないんだから、申し分ない。
- いつも考えることにした短いディレイ(秒)後に間違ったログイン毎にユーザーです。この厳力がわからないか回遅れにされている辞書攻撃を見せた。辞10,000語==10,000秒==約3時間。うーん。では十分ではありません。)
- の代わりにサイト全体のスピードを落とし、なぜなユーザー名スロットル.スロットルがますます厳しいと誤った試み(上限ないといけないと思い、したがって、本当にユーザーでログイン)
編集:応答コメントは、ユーザー名スロットル:これはユーザー名で特定のスロットルに関係なく、ソースの攻撃ができます。
場合、ユーザー名はthrottled、その後も連携のユーザー名攻撃(多IP,単いたIP、同じユーザー名)により運営されます。個々のユーザ名で保護されているスロットルの場合でも攻撃者は無く他のユーザ/パスワードを入力タイムアウト.
からの攻撃者の視点は、タイムアウトだけますよう、ご協力をお願いい初めて推定で100パスワードを短時間で発見つのパスワードの誤ります。まみを作ることができるわけである50秒推測のための期間です。
からユーザーアカウントの観点から、まだ、同じ平均件数の推測にパスワードの場合でも推測しているから。
に攻撃者のイニシアティブは、同一でもう100勘定う1アカウントできない側、サイト全体できランプのスロットルね。
追加の改善:
- 検出IPsと推測複数のアカウント-408要求タイムアウト
- 検出IPsと推測で同じアカウント-408要求タイムアウトした後、大型(100数推測.
UIアイデアに適合するものではありません、このコンテキスト)、磨き上記:
- 場合のパスワードを設定し、ユーザー どのように強いパスワードが することを奨励していおります。
- の場合は制御のログイン ページ, 後に小さな(10)数の推測のシングルユーザー名、画像認証.
ある分子の大きさや吸着力の差を利用認証:
- ユーザー 知ってい もの(すなわち、パスワード)
- ユーザー は もの(すなわち、キー fob)
- ユーザー は もの(すなわち、網膜スキャン)
通常、ウェブサイトのみ実施方針#1.でも多くの銀行のみ実施方針1.その代わりになる"知っていうアプローチ"の二要素認証を行います。(IE:ユーザが知っていパスワードとその母親の旧姓名前が表示されます) ることができれば、追加、第二の要因の認証は難しいものなのです。
ればな形を生成することができます周辺の256文字の乱数の発生源、構造の16×16テーブルにユーザーといった、すべてのテーブルのセルA-14です。ユーザーが標または変更-パスワードのテーブルを教えてくれ印刷でとして保存することができます。
の難しさは、この方法はユーザーのパスワードを忘れていますので、できるだけではなく、標準"この質問に答えによれば、新しいパスワード"、それに弱い力しています。また、できないリセットでメールして、そのメールが妥協しています。参照:Makeuseof.com や盗まれ。)
うるる子猫)、ボアと呼SiteKeyいと信じている標です。簡単に言うと、また、ユーザーのアップロード画像の登録の際に、のようなログインをお願いれてはいけない、というイメージの8/15(以上)のランダムです。そのため、ユーザー投稿写真の子猫を理論的にみている写真は彼らのその他の子猫(花など).のvunerabilityこのアプローチは男の中攻撃ができます。
ような子猫もの)は、トラックIPsユーザーにアクセスシステムは、これらの行を追加認証"と、キティ、キーからこのテーブル)がログインからのアドレスではない。また、同様のGMailの他に、ユーザーにビューしてログインしたからです。
編集、新しいアイディア
別の言い方の妥当性を検証ログインが試みであるかどうかを必ず確認し、ユーザーからのログインページです。できない者チェックが可能ですので簡単に偽.必要なものはセットキーの_SESSION varの場合、ユーザのログインページ、そしてきていることを確認して下さいキーが存在する場合に提出していログイン情報です。場合はボットが提出されていないからログインページではできない"login"ボタンをクリックします。できないため、この関javascriptのいずれかを使用でクッキー、または追加の情報の形をした後に読み込まれます。または、分割することができる形式は次の二つの異なる者(すなわち、ユーザの入力をユーザー名、提出し、新しいページがパスワードを提出します。)
の鍵は、この場合、最も重要です。共通を生成する方法が一部組み合わせ、ユーザーのデータは、IPの時間でした。
私はあなたがこの問題の費用便益分析を行ってきたかどうかを聞いています。あなたは(あなたがIPの調整を却下しましたので)IPあたり多分3-5要求を送信する、パスワードの数を推測するのに十分なWebプレゼンスを持つ攻撃者から身を守るためにしようとしているように聞こえます。どのくらい(約)攻撃コストのようなものでしょうか?それはあなたが保護しようとしているアカウントの値よりも高価ですか?どのように多くの巨大ボットネットは、あなたが持っているものしたいですか?
答えはノーになることはありませかもしれない - しかし、それであれば、私はあなたには、いくつかの種類のセキュリティの専門家からの助けを得ている願っています。プログラミングのスキル(とStackOverflowのスコア)は、セキュリティのノウハウに強く相関していない。
前にあるのがとてもうれしかった回答は、質問で たいのですがスロットルユーザログインが試みPHP.私が繰り返ソリュ-ションを提案していくまで情報提供に有用であるが実際のコードです。ください裸にする心を"といするのが一番の解決策により、ますます高精度なアルゴリズムで使用ぷンポスバスターズは、現在
できなけ防止のたDoS攻撃によるチェーン側をシングルはホームページからダウンロードユーザ名です。地獄できないもんを防止急-消防のログインを試みます。
なぜですか? で攻撃できる複数のIPsとローカルユーザーアカウントにお越側の試み.
れによって掲載して他るべき追跡調査する予定であるすべてのログインに失敗した試みのサイトに関してタイムスタンプか:
CREATE TABLE failed_logins(
id INT(11) UNSIGNED NOT NULL AUTO_INCREMENT PRIMARY KEY,
username VARCHAR(16) NOT NULL,
ip_address INT(11) UNSIGNED NOT NULL,
attempted DATETIME NOT NULL
) engine=InnoDB charset=UTF8;
決定の遅れに基づく 総合 ログイン失敗回数を与えられた。るべき基本統計データから引き failed_logins テーブルとしてでは 経時変化 に基づくユーザー数をどのようそれらの多くはリコール(タイプ)パスワードになります。
10 failed attempts = 1 second
20 failed attempts = 2 seconds
30 failed attempts = reCaptcha
クエリのテーブル毎に失敗したログインの検索を試みログイン失敗回数の指定された期間、15分:
SELECT COUNT(1) AS failed FROM failed_logins WHERE attempted > DATE_SUB(NOW(), INTERVAL 15 minute);
多数の場合に一定時間以上のお客様限定、執行側は力のすべてのユーザーの利用酔(すなわちreCaptcha)までの数の試みが失敗に終わった以上、指定された期間以下はzemax®ファイルをご参照ください。
// array of throttling
$throttle = array(10 => 1, 20 => 2, 30 => 'recaptcha');
// assume query result of $sql is stored in $row
$sql = 'SELECT MAX(attempted) AS attempted FROM failed_logins';
$latest_attempt = (int) date('U', strtotime($row['attempted']));
// get the number of failed attempts
$sql = 'SELECT COUNT(1) AS failed FROM failed_logins WHERE attempted > DATE_SUB(NOW(), INTERVAL 15 minute)';
// assume the number of failed attempts was stored in $failed_attempts
krsort($throttle);
foreach ($throttle as $attempts => $delay) {
if ($failed_attempts > $attempts) {
// we need to throttle based on delay
if (is_numeric($delay)) {
$remaining_delay = time() - $latest_attempt - $delay;
// output remaining delay
echo 'You must wait ' . $remaining_delay . ' seconds before your next login attempt';
} else {
// code to display recaptcha on login form goes here
}
break;
}
}
使用reCaptchaである一定の閾値を攻撃から多面的にする 最小化 通常のサイトのユーザーのような経験を大幅に遅れのための正当な失敗したログインのことを伝え、"よくやった!いgaurantee予防としての拡大した際に"とのできる選品の発送は順次行.が代替的解決にこのような異形の"名物"は、仕事ができるものとして代わりになります。
まとめるイェンススキームへの擬似的な状態遷移図/rulebase:
- ユーザー+パスワード>の入力
- ユーザー+!パスワード->否定
- ユーザー+known_IP(ユーザ)->フロントドア
// never throttle - ユーザー+unknown_IP(ユーザ)->catflap
- (#否定>n)によcatflaps(サイト)->スロットルcatflaps(サイト)
// slow the bots - catflap+スロットル+パスワード+酔->入
// humans still welcome - catflap+スロットル+パスワード+!画像認証->否定
// a correct guess from a bot
観測:
- ないスロットルの玄関先までとなります。のElbonian州警察パソコンに、ハウスができない尋問をします。力が実行可能なアプローチします。
- を提供する場合は、"Forgettenお"パスワードリンク、そのメールアカウントとなり、攻撃に加担す。
これらの観測をカバーの異なるタイプの攻撃をものにしようとしています。
あなたは遅い分散ブルートを防御しようとしているように見えます力する。ではないことくらいはそれについて行うことができます。私たちは、PKIとパスワードなしログインを使用しています。これは役立ちますが、あなたのクライアントはたまに内のワークステーションをチャンスあれば、これは非常に適用されていません。
免責事項:私は、二要素会社のために働くが、それをプラグインするためにここにいないです。いくつかの観測をHere'reます。
クッキーはXSSやブラウザvulnsで盗まれる可能性があります。ユーザーは、一般的にブラウザを変更したり、自分のクッキーをクリアします。
ソースIPアドレスが同時に動的変数と偽装可能です。
キャプチャが便利ですが、特定の人間を認証しません。
複数の方法がうまく組み合わせることができますが、良い味が順番に確かにある。
パスワードの複雑さパスワードベースのものが非常に十分なエントロピーを持つパスワードに依存して、良いです。私見では、安全な物理的な場所に書き留め強力なパスワードは、メモリ内の脆弱なパスワードよりも優れています。人々は、彼らは、3つの異なるウェブサイト用のパスワードとして使用した場合、その犬の名前で効果的なエントロピーを把握する方法を知っているよりもはるかに優れた紙文書のセキュリティを評価する方法を知っています。ユーザーは一回使用のパスコードの完全な大小のページをプリントアウトする機能を与えることを検討します。
「あなたの高校のマスコットは何だった」あるようなセキュリティ問題、ほとんどの他のお粗末な形それらのほとんどは、簡単に推測またはあからさまなパブリックドメインにある、「何かあなたが知っている」。
あなたが述べたように、、バック失敗したログイン試行を絞ることはトレードオフの防止ブルートフォース攻撃やアカウントを投与の容易さとの間にあります。積極的なロックアウトのポリシーは、パスワードのエントロピーの自信の欠如を反映することができる。
私は個人的にはとにかくウェブサイト上でパスワードの有効期限を強制に利益が表示されません。攻撃者は一度パスワードを取得し、彼はそれを変更し、同じように簡単にすることができますように、そのポリシーに準拠することができます。おそらく1つの利点は、攻撃者がアカウントのパスワードを変更した場合、ユーザーはすぐに気づくかもしれないということです。攻撃者がアクセスした前に、ユーザーが何らかの方法で通知された場合であっても良いだろう。以下のようなメッセージ「Nは、前回のログイン以降の試行を失敗しました」この点で有用である。
最高のセキュリティが最初にアウトオブバンドの相対での認証の第二の要因から来ています。あなたが言ったように、「あなたが持っている何か」のハードウェアトークンは素晴らしいですが、多くは(すべてではない)、その分布に関連付けられた実際の管理オーバーヘッドを持っています。私はウェブサイトのための良い解決策任意のバイオメトリック「あなたは何か」を知りません。いくつかの二因子ソリューションは、いくつかは、PHP / Perlの/ PythonのSDKを持って、OpenIDのプロバイダと協力ます。
私の最高の勧告は、単にあなたがことを確認することです彼らのaccounts--に悪いログイン試行が通知のユーザーを保ちます 彼らは誰かが実際に自分のアカウントに取得しようとしているという証拠を提示している場合、ユーザーはおそらくはるかに真剣に自分のパスワードの強度がかかります。
私は実際に彼らは彼のためにGmailアカウントのIのセットアップに取得しようとしましたが、「電子メールで自分のパスワードをリセット」機能を使用し...私の受信トレイに行ってきましたしていたので、私の弟のmyspaceのアカウントにハッキング誰かをつかまえました。
何約が必要なワンタイムパスワードに入る前に通常のパスワード?るということなので非常に明している人がいるのを襲った機会が多いのパスワード?
くグローバルカウント率が高いログイン失敗のこのリスク-テイク指標は、攻撃中の攻撃するより厳しいログイン失敗例禁止IPsります。
私は完璧な答えがあると信じていませんが、私は、攻撃が検知された場合には、ロボットを混乱しようとしているに基づいて、それに近づくために傾斜になります。
私の心のトップオフます:
代替ログイン画面に切り替えます。それは本当に見えるんが、それらの一方のみが正しい場所にある複数のユーザ名とパスワードのブランクがあります。フィールド名があるのRANDOM の - ログイン画面と一緒に送信されたセッション鍵は、サーバは、その後のフィールドがどのようなものかを調べることができます。あなたはリプレイ攻撃をしようとすることはできませんので、それは捨てています成功するか失敗する - 。あなたは、彼らが新しいセッションIDを取得し、パスワードを拒否した場合、
間違ったフィールドにデータを提出されているすべてのフォームは、ロボットからであると仮定される - ログインに失敗し、期間、およびIPが絞られています。そのパスワードを覚えているものを使用して誰かが誤解されていないランダムフィールド名が合法的なフィールド名と一致することはありませんことを確認します。
次に、どのようにキャプチャの別の種類について:あなたは人間のために問題を引き起こすことはありません一連の質問を持っています。しかし、彼らはのないのランダムです。攻撃を開始すると誰もが質問#1を与えられています。時間の質問#1が破棄された後、再び使用されていないと、誰もがそうで質問#2とを取得するために決してます。
攻撃者は、理由の質問の使い捨ての性質の彼のロボットの中に入れてデータベースをダウンロードするためのプローブすることはできません。彼は何もする任意の能力を持っている時間以内に彼のボットネットに新しい命令を送信する必要があります。
いくつかの人々は、私はCAPTCHAの有効性について、以前のStackOverflowの質問とスレッドを追加している、フォールバックメカニズムとして人間のCAPTCHAを含まのでます。
がreCAPTCHAのがハッキング/クラックされています/ OCR'd /敗北/壊れですか
あなたのスロットリングやその他の提案からの改善を制限するものではありませんCAPTCHAを使用して、私はフォールバックとしてCAPTCHAを含ん回答数は、セキュリティを破るために探している人々に、人間ベースの方法が利用可能に検討すべきだと思います。
このままスロットルに基づく強度のユーザーのパスワードになります。
ユーザが登録-変更をパスワードを計算する強度の格付けのためにパスワードという1-10.
のようなもの"パスワード"の得点1は"c6eqapRepe7et*Awr@ch"がコート9、10、より高いスコアをなし側にキックです。
この質問をするとき、私は通常、聞いた最初の答えは、ポートを変更、それを忘れて、ただのIPv4を無効にすることです。あなたが唯一のIPv6ネットワークからクライアントを許可した場合you'rは、もはや単純なネットワークスキャンのために祈るないと、攻撃者は、DNS検索に頼るだろう。あなたのApache(AAAA)/ Sendmailの(MX-> AAAA)と同じアドレス上で実行しないでください/あなたは誰も(AAAA)に何を与えています。あなたのゾーンはxferdすることができないことを確認し、あなたのゾーンは、誰でもダウンロードできるようにすることyou'rを待つのか?
ボットは、サーバーのセットアップ新しいホスト名を見つけた場合は、、ちょうどあなたのホスト名にいくつかちんぷんかんぷんを付加し、あなたのアドレスを変更します。上のタイムアウトするボットネットの古い名前とさえセットアップ**ハニーポットの名前のままにしておきます。
**そうではない/ 4のレコードを持っているVS / 4Sをゼロに使用することができるかどうかを確認するために、あなたの逆(PTR)(ip6.arpaの下で。)レコードをテストします。即ち通常、ip6.arpaは、アドレスでの「」〜32を持っているだろうが、最後のいくつかの不足しているとしようとするとしないレコードVS他の人を持っているネットワークブロックを逃れるかもしれません。あなたはさらにそれがアドレス空間の大部分をスキップすることが可能になることを取る場合。
最悪の場合ユーザにセットアップするIPv6トンネルを持つことになり、それは彼らがDMZにVPNing限り行くことに... 1は驚異けれどもそれは最初のオプションではありません理由があるだろうのようではありません。
(NISPLUSと技術的に間違っているのですか?私は、Sunは、ユーザーがLDAPを望んでいたし、このために、彼らはNIS +を落としたことを決めたことを読んだ)また、Kerberosはクールだが、私見LDAPが吹きます。 KerberosはLDAPまたはNISなしで正常に動作しない、ちょうどホストごとのホスト上のユーザーを管理する必要があります。 Kerberosを使用することで、あなたに使いやすい与え、自動化されていない場合は、PKIます。
ビットが、私はハードケースを想定し、考えていた - 攻撃者はランダムなIPアドレス、ランダムなユーザー名と万最も人気のリストと言うから選択されたランダムなパスワードの多くを使用しています。
。あなたができることの一つに、そこにシステム上の間違ったパスワード試行の多くがあり、パスワードは低エントロピーは、あなたの両親は最初の名前が何であるかのような二次的な質問をしている場合は特にその中でシステムが攻撃を受けているようだ場合は特に、 例えば。攻撃者は「PASSWORD1」パスワードを試す万口座をヒットした場合、彼らは多くなく、名前が右の劇的な成功を減らすことが得ることの彼らのオッズを取得します良いチャンスがあります。
