@djay

Как эффективно защитится от брут-форса на VPS сервере?

Допустим, есть веб-некая страница my-server.com/login котрая принимает параметры login & password.

Атакующий

1) Создает автоматизированный скрипт, где в цикле выполняет запросы на my-server.com/login подставляя значения.

2) Для обхода fail2ban использует прокси.

Вопросы:

1) Для защиты от DDoS достаточно ли на уровне веб-сервера nginx уменьшить частоту запросов?

2) Существует ли какая-то общепринятая практика защиты скриптов от брутов на VPS сервере? В интернете слишком много информации неоднозначного содержания касательно общепринятой практике.
  • Вопрос задан
  • 274 просмотра
Пригласить эксперта
Ответы на вопрос 2
@hx510b
На мой взгляд надо заставить веб-клиента делать какую-то работу, например, ставить куку и смотреть, что он ее предъявил, с помощью javascript на стороне клиента проводить простые вычисления, но не предсказуемые вычисления, которые он должен предъявить.
Брутфорс наверняка идет в отношении конкретного аккаунта, можно на каждую неудачную попытку увеличивать время ответа, чтобы разительно снижать темп перебора.
Можно начать показывать CAPTCHA в случае детектирования таких проблем.
Можно сделать блокировку учетной записи в случае N неудачных попыток за период времени.
Возьмите за образец логику PIN кодов банковский карт - 3 неудачных попытки - блокировка карты. Поэтому даже весьма простой 4-х численный PIN код становится не подбираемым брутфорсом.
Существуют различные практики приблизительной деанонимизации веб-клиента, которые позволят установить, что с разных адресов идет один и тот же веб-клиент.
Ответ написан
2ord
@2ord
продвинутый чайник
Можно ограничивать поток запросов при помощи nginx.
https://www.geekytuts.net/shell-tricks/wordpress-b...
https://medium.com/@bhagyak.ksr/traffic-shaping-wi...
https://www.nginx.com/blog/rate-limiting-nginx/
Так же может быть даже учитывать частоту кода ошибки 403 в промежуток времени на заданный путь от одного клиента.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы