Limite de tentativas de conexão por minuto (anti força-bruta)
Uma técnica simples para inviabilizar técnicas de força-bruta é limitar o número de novas conexões por um determinado período de tempo, usando o atributo –state NEW, com o iptables.
O atributo –state NEW, cria uma lista com todos os ips que efetivamente estabeleceram um nova conexão com o servidor.
Exemplo: Limitando conexões ao ssh.
Parte 1: Adicionar os ips de novas conexões a lista:
iptables -I INPUT -p tcp –dport 22 -i eth0 -m state –state NEW -m recent –setParte 2: Atualizar a lista, limitando as conexões se o ip já estiver na lista:
iptables -I INPUT -p tcp –dport 22 -i eth0 -m state –state NEW -m recent –update –seconds 60 –hitcount 2 -j DROPNo exemplo em questão, há um limite de 2 tentativas, ou de conexões efetivas, a cada 60 segundos.
done.