Pour moi fail2ban et autres ne sont pas capables de bloquer une attaques provenant de plusieurs IP / d'un pool d'IP...  et d'en déterminer le réseau pour le bloquer dans son ensemble.   Le peu de requête par IP fait passer l'attaque sous les radars de fail2ban.

Mais peut être que je me trombe ? Si c'est le cas je veux bien un bout de doc, un bout de config...

Le 25/06/2024 à 20:08, Franck Routier a écrit :

ou https://linuxfr.org/news/reaction-remplacant-de-fail2ban ? (j'ai pas vraiment testé, juste vu la dépêche)


Le mardi 25 juin 2024, 19:24:57 CEST Nicolas Parpandet via FRsAG a écrit :

>

> Hello,

>

> Oui ca existe, tu peux écrire tes propres règles "fail2ban" 😉

>

> A+

>

> Nicolas

> ________________________________

> From: David M via FRsAG <frsag@frsag.org>

> Sent: Tuesday, June 25, 2024 18:27

> To: frsag@frsag.org <frsag@frsag.org>

> Subject: [FRsAG] Bloquer attaque http, ip multiple

>

> Bonjour à tous,

>

> J'ai de plus en plus (chez moi ou chez des clients) d'aspiration de contenu et/ou /d'attaque DDoS un peu pauvre (difficile à dire) et c'est difficile à contrer parce que ça vient de pool d'IP  qui change quasi à chaque requête :/

> * X.Y.202.142

> * X.Y.65.224

> * X.Y.96.202

> * Z.A.202.138

> * Z.A.65.196

> * Z.A.96.206

>

> Bien sûr ce sont des IP qui provient de Singapour, de Russie... du trafic illégitime au vu des requêtes / du nombres...

>

> Et ça génère de gros ralentissements/fait monter le load bien fort et les requêtes légitimes n'ont plus de place...

>

> Pour l'instant je monitore et je bloque des subnet entier (exemple X.Y.0.0/24)

>

> Vous vous doutez bien que j'ai pas vraiment envie d'aller vers des trucs à la cloudflare... mais existe-t-il un équivalent "self hosted" et libre ?

>

> L'idée de bloquer le trafic par pays ici n'est pas envisageable en plus d'être extrêmement peu fiable...

> Une idée serait de faire un programme qui fait ce que je fais. À savoir consulter le server-status et émettre des hypothèses de trafic illégitime + bloquer celui-ci. Mais ça existe peut-être déjà ?

>

> Note : j'ai pas la main sur les connexions réseaux...ce sont des VPS et/ou des Proxmox avec des LXC qui ce fond attaquer...

>

> David

>

> --

> https://retzo.net/

> Tél port : 0663691604

> Tél fix : 0972199940 Lundi|Mardi|Jeudi 9h30-16h ou Mercredi|Vendredi 9h30-12h

>

_______________________________________________
Liste de diffusion du %(real_name)s
http://www.frsag.org/

Répondre à