Question : Mur à l'épreuve du feu de Cpanel LFD (serveur de LAMPE de Linux)

Le mur à l'épreuve du feu de LFD permettant toujours des IP address par celui sont bloqués

J'ai noté deux exemples séparés récemment.
1. j'avais manuellement ajouté un IP address dû au Spam de forme de Web. Alors nous avons obtenu plusieurs PLUS du même IP address qui avait été manuellement bloqué. La forme de Web emploie la variété REMOTE_ADDR d'ENV pour capturer l'IP address.   J'ai employé  
200.143.0.0 /16
quel format semble avoir fonctionné dans le passé.

2. Séparément, bloqué et alors continu pour obtenir à travers :    Dans le regard au-dessus des notations de serveur, je vois que le détecteur de mur à l'épreuve du feu a réalisé son travail en bloquant l'exemple au-dessous de 81.208.30.34
Cependant en heures et jours suivants, il y avait des centaines que DE PLUS blocs ont publiées (des groupes de cinq échecs d'attaque de dictionnaire).
(voir le WHM> nier l'entrée de liste ci-dessous, suivi de deux extraits aléatoires des email de notation que je reçois).   J'ai pensé une fois qu'un IP était bloqué, cela étais la fin de lui, que le mur à l'épreuve du feu a empêchée d'obtenir même que loin encore d'être bloqué encore.

QUESTIONS :
A. Les vars d'IP ENV sont-ils spoofable ? (et de ce fait elle bloque l'adresse fausse)

B -- ou-- la vraie question : par la façon dont pourraient les accès suivants la faire (et dans le dernier cas, être bloqué encore)

C une question d'aparté. Mon « propriétaire » dit que cela using la syntaxe de masque de CIDR pour le bloc nient la liste prend une quantité excessive de temps- CPU pour tourner par chacun de 2 ** 16 IP address. J'ai pensé qu'au niveau du bit une équation booléenne simple de logique a été employée pour masquer littéralement la partie nécessaire de l'addr d'IP et faire juste un simple = compare pour celle la cloison.
Quelle est votre prise sur employer des masques de CIDR dans la liste de nier ?

MERCI !

(notations/résumé joint ci-dessous) 
1 :
2 :
3 :
4 :
5 :
6 :
7 :
8 :
9 :
10 :
11 :
12 :
13 :
14 :
15 :
16 :
17 :
18 :
19 :
20 :
21 :
22 :
23 :
24 :
25 :
26 :
27 :
28 :
29 :
30 :
31 :
32 :
33 :
34 :
35 :
36 :
37 :
38 :

NOTATION 

_________________________________
Nier l'entrée de liste :
81.208.30.34 # lfd : 5 échecs de l'ouverture (pop3d) de 81.208.30.34 (IT/Italy/81-208-30-34.ip.fastwebnet.it) en 300 dernières sec - Fri 14 mai 11 : 51 : 09 2010

__________________________________
deux exemples des notations envoyées (à la suite de l'entrée de liste de bloc)
(elle semble être une attaque de dictionnaire)


Temps : Fri 14 mai 11 : 54 : 20 2010 -0400
IP : 81.208.30.34 (IT/Italy/81-208-30-34.ip.fastwebnet.it)
Échecs : 5 (pop3d)
Intervalle : 300 secondes
Bloqué : Oui

Entrées de notation :

14 mai 11 : 54 : 15 server2 pop3d : OUVERTURE ÉCHOUÉE, user=tony, ip= [: : ffff : 81.208.30.34]
14 mai 11 : 54 : 17 server2 pop3d : OUVERTURE ÉCHOUÉE, user=cyrus, ip= [: : ffff : 81.208.30.34]
14 mai 11 : 54 : 18 server2 pop3d : OUVERTURE ÉCHOUÉE, user=pgsql, ip= [: : ffff : 81.208.30.34]
14 mai 11 : 54 : 20 server2 pop3d : OUVERTURE ÉCHOUÉE, user=info, ip= [: : ffff : 81.208.30.34]
14 mai 11 : 54 : 20 server2 pop3d : OUVERTURE ÉCHOUÉE, user=named, ip= [: : ffff : 81.208.30.34]

Temps : Fri 14 mai 12 : 9h28 2010 -0400
IP : 81.208.30.34 (IT/Italy/81-208-30-34.ip.fastwebnet.it)
Échecs : 5 (pop3d)
Intervalle : 300 secondes
Bloqué : Oui

Entrées de notation :

14 mai 12 : 9h01 server2 pop3d : OUVERTURE ÉCHOUÉE, user=radiomail, ip= [: : ffff : 81.208.30.34]
14 mai 12 : 9h07 server2 pop3d : OUVERTURE ÉCHOUÉE, user=harrypotter, ip= [: : ffff : 81.208.30.34]
14 mai 12 : 9h15 server2 pop3d : OUVERTURE ÉCHOUÉE, user=divine, ip= [: : ffff : 81.208.30.34]
14 mai 12 : 9h21 server2 pop3d : OUVERTURE ÉCHOUÉE, user=popa3d, ip= [: : ffff : 81.208.30.34]
14 mai 12 : 9h26 server2 pop3d : OUVERTURE ÉCHOUÉE, user=aptproxy, ip= [: : ffff : 81.208.30.34]

Réponse : Mur à l'épreuve du feu de Cpanel LFD (serveur de LAMPE de Linux)

A : Des vars d'IP ENV peuvent être charriés, mais car c'est un raccordement de TCP il peuvent seulement être un « spoof d'aveugles » (http://www.hackinthebox.org/modules.php?op=modload&name=News&file=article&sid=6394&mode=thread&order=0&thold=0) qui signifie le client doit deviner quelques choses et également ne recevra pas n'importe quelle rétroaction (charger n'importe quel contenu de la page). Naturellement le client doit également être sur un réseau qui laisse charrier des IP address.

B : Comment vous avez bloqué l'IP address. Le bloc peut être temps limité (et a enlevé ainsi une certaine heure à l'avenir), ou peut être fait à des niveaux plus élevés de sécurité (pas sur le mur à l'épreuve du feu). Également vous pouvez avoir la limite à combien d'IPS sont bloqués (par exemple DENY_IP_LIMIT). Quand la limite est atteinte les blocs les plus anciens sont enlevés.

C : il dépend du bloc et du logiciel faisant le bloc - il pourrait mettre dans un subrange ou tous différentes adresses.
Autres solutions  
  •  MS Excel 2007 et pdf - l'exportation vers le pdf prend de longues heures !
    •
  •  Dans le Perl, comment j'ajoute une valeur à la liste, puis le contrôle pour voir si la valeur existent avant d'ajouter une nouvelle valeur
    •
  •  Comment fais j'initialiser de la HP BL460c G6 de san et de la HP XP 240000
    •
  •  Comment fais j'employer une clef de permis de volume sur un ordinateur de HP avec du CD de restauration
    •
  •  Emplacement primaire de deux SCCM dans l'annuaire actif
    •
  •  L'initiateur et la HP D2D de l'iSCSI R2 du serveur 2008 de Windows GERCENT l'issue
    •
  •  Stocker le dossier dans le mysql using connector.net et le champ de goutte
    •
  •  Carte vidéo d'USB - bit 32 sur le matériel travaillant au niveau du bit 64 ?
    •
  •  asp.net que j'essaye de convertir une forme de HTML en forme d'aspx ou ? ce qui jamais. Aide du besoin sur la façon dont à à elle.
    •
  •  Winzip 12 issues de secours du travail ?
    •
     
    programming4us programming4us