Pour moi fail2ban et autres ne sont pas capables de bloquer une attaques
provenant de plusieurs IP / d'un pool d'IP... et d'en déterminer le
réseau pour le bloquer dans son ensemble. Le peu de requête par IP
fait passer l'attaque sous les radars de fail2ban.
Mais peut être que je me trombe ? Si c'est le cas je veux bien un bout
de doc, un bout de config...
Le 25/06/2024 à 20:08, Franck Routier a écrit :
ou https://linuxfr.org/news/reaction-remplacant-de-fail2ban ? (j'ai
pas vraiment testé, juste vu la dépêche)
Le mardi 25 juin 2024, 19:24:57 CEST Nicolas Parpandet via FRsAG a écrit :
>
> Hello,
>
> Oui ca existe, tu peux écrire tes propres règles "fail2ban" 😉
>
> A+
>
> Nicolas
> ________________________________
> From: David M via FRsAG <frsag@frsag.org>
> Sent: Tuesday, June 25, 2024 18:27
> To: frsag@frsag.org <frsag@frsag.org>
> Subject: [FRsAG] Bloquer attaque http, ip multiple
>
> Bonjour à tous,
>
> J'ai de plus en plus (chez moi ou chez des clients) d'aspiration de
contenu et/ou /d'attaque DDoS un peu pauvre (difficile à dire) et
c'est difficile à contrer parce que ça vient de pool d'IP qui change
quasi à chaque requête :/
> * X.Y.202.142
> * X.Y.65.224
> * X.Y.96.202
> * Z.A.202.138
> * Z.A.65.196
> * Z.A.96.206
>
> Bien sûr ce sont des IP qui provient de Singapour, de Russie... du
trafic illégitime au vu des requêtes / du nombres...
>
> Et ça génère de gros ralentissements/fait monter le load bien fort
et les requêtes légitimes n'ont plus de place...
>
> Pour l'instant je monitore et je bloque des subnet entier (exemple
X.Y.0.0/24)
>
> Vous vous doutez bien que j'ai pas vraiment envie d'aller vers des
trucs à la cloudflare... mais existe-t-il un équivalent "self hosted"
et libre ?
>
> L'idée de bloquer le trafic par pays ici n'est pas envisageable en
plus d'être extrêmement peu fiable...
> Une idée serait de faire un programme qui fait ce que je fais. À
savoir consulter le server-status et émettre des hypothèses de trafic
illégitime + bloquer celui-ci. Mais ça existe peut-être déjà ?
>
> Note : j'ai pas la main sur les connexions réseaux...ce sont des VPS
et/ou des Proxmox avec des LXC qui ce fond attaquer...
>
> David
>
> --
> https://retzo.net/
> Tél port : 0663691604
> Tél fix : 0972199940 Lundi|Mardi|Jeudi 9h30-16h ou Mercredi|Vendredi
9h30-12h
>
_______________________________________________
Liste de diffusion du %(real_name)s
http://www.frsag.org/