这是我在Serverfault的第一篇文章,所以如果我犯了一些错误,请让我知道。
我正在处理的问题是在端口25上的我的Exim邮件服务器(cPanel)上的DDoS攻击。从我所研究的,可以使用SMTP反向代理,但我不知道什么是最好的select以及如何configuration它来帮助我在这种情况下。
最近(5小时前)开始发生这种情况,我没有机会find实际操作指南。 从日志中可以看出,DDoS的目标是用完所有的exmp中的smp_accept_max,现在设置为2000.几个小时前,攻击达到了1.1k,但是现在它使用了高达1.7k的最大的连接。
我可以使用的基础设施是一个单独的服务器,IP为88.77.66.55(这不是真正的IP),通过专用LAN(192.168.XXX.YYY)连接到受影响的服务器,通过它可以完成邮件中继。
问题是如果我可以使用反向SMTP代理来帮助缓解这个最大的SMTP连接使用率。 下面是exim_mainlog中显示TCP / IP连接数(88.77.66.44不是受影响的服务器的真实IP)的一些行:
2015-08-13 12:37:06 SMTP connection from [182.66.39.251]:61483 I=[88.77.66.44]:25 (TCP/IP connection count = 1047) 2015-08-13 12:37:06 SMTP connection from [81.138.19.72]:53444 I=[88.77.66.44]:25 (TCP/IP connection count = 1048) 2015-08-13 12:37:06 SMTP connection from [113.183.33.219]:1098 I=[88.77.66.44]:25 (TCP/IP connection count = 1049) 2015-08-13 12:37:06 SMTP connection from [188.158.238.5]:18165 I=[88.77.66.44]:25 (TCP/IP connection count = 1050) 2015-08-13 12:37:06 SMTP connection from [121.97.241.34]:45001 I=[88.77.66.44]:25 (TCP/IP connection count = 1051) 我认为可能的解决scheme是在反向代理服务器上安装Exim,并让一些日志检查器匹配一些正则expression式来通过防火墙禁止一些IP地址(像CSF – ConfigServers的regex.custom.pm)。 我知道这不会阻止攻击,但至less我会从主服务器上卸载,让代理服务器完成所有工作。
任何人都可以提出一个备用解决scheme或帮助我有关如何设置进出口路由+防火墙日志检查的一些信息?
如果需要其他信息,请告诉我。
谢谢。
尝试configuration连接ACL以删除来自无效发件人的连接。 这可以在连接时使用ACL来完成。
acl_smtp_connect = acl_local_connect acl_local_connect: # Drop blacklisted sites - safest deny !dnslists = list.dnswl.org dnslists = zen.spamhaus.org:bl.spamcop.net log_message = Host ${sender_host_address} is blacklisted # Drop hosts failing rDNS validation - may drop valid emails deny !dnslists = list.dnswl.org !verify = reverse_host_lookup log_message = Host ${sender_host_address} failed rDNS
这应该阻止大部分服务器击中你。 您可以使用fail2ban或CSFlogin,并在防火墙上阻止这些IP几个小时。
您可能希望defer而不是deny DNS反向validation的连接。 这将使您有机会将合法主机列入白名单。
在邮件服务器上使用具有大量caching(数千条)的cachingDNS服务器。 随着负载,你正在经历,你会产生几个查询每个主机是打你。