¿Debo preocuparme por un ataque de diccionario muy lento?

Solo bloquéalos cambiando el intervalo de tiempo en tu regla de la cárcel.

bantime  = 10800 ;3 hours
findtime  = 86400 ;1 day
maxretry = 5

Si un atacante falla 5 veces en un día, será bloqueado durante 3 horas o puede aumentar ese número según lo desee.

Prevenga tanto como sea posible, antes de que sea tarde.

  

Un cálculo en la parte posterior del sobre muestra que, si el atacante comprueba una contraseña cada 40 minutos, agotará un diccionario de 10 000 palabras en poco menos de un año. (No es que mis contraseñas sean palabras de diccionario, eso sí).

Si sus contraseñas no son palabras del diccionario, calcular el tiempo que tomará revisar un diccionario no es un cálculo muy útil, ¿verdad? Calcule cuánto tiempo le tomaría a fuerza bruta su contraseña.

Dada esa información, asegúrate de rotar tus contraseñas mucho antes de que sean descubiertas. Es una buena práctica hacer esto regularmente, de todas formas, porque las contraseñas pueden filtrarse en todo tipo de lugares inesperados.

Desde que notó este ataque, no dude en ajustar sus reglas fail2ban para bloquearlo más (si no está preocupado por el impacto legítimo que tiene el usuario de restringirlas). Luego, puede tomar en cuenta la nueva velocidad cuando realice el cálculo de "tiempo hasta que se haya comprometido".

Me gusta determinar la amenaza de ataques de diccionario ejecutándolos contra mí mismo utilizando los archivos de diccionarios populares descargados en SkullSec.

rockyou.txt es decente y agregar a sus equipos deportivos locales es un excelente método para discernir el riesgo de pirateo del diccionario.

PERO al ritmo de ataque que está experimentando ahora ... puede estar menos preocupado hasta que comiencen a ejecutar ataques de capas complejas adicionales que podrían indicar un intruso motivado específicamente después de su (s) sitio (s).

Es probable que estés experimentando un ataque "knockknock" como se describe aquí: enlace

Afecta a muchas empresas, por lo que no me sorprendería.

Mientras tenga contraseñas seguras, el riesgo es bastante bajo. Con contraseñas seguras, incluso 1 millón de intentos no deberían estar cerca de descifrarlo.

Puede bloquear las IP en cuestión o reportar el abuso, pero es improbable que las detenga por completo porque las IP cambiarán. Tampoco es demasiado de qué preocuparse. O, si las IP son propiedad del atacante, y no algunos vps pirateados, puede iniciar un ataque de ddos usando servidores con suplantación de IP habilitada y usando amplificación UDP > :)

Puede probar la complejidad de la contraseña de su entorno ejecutando mimikatz en un controlador de dominio para volcar todos los hashes de contraseña, y luego realizar un ataque de fuerza bruta con Hashcat usando listas de palabras y reglas.