Ca a été évoqué ici: https://github.com/fail2ban/fail2ban/issues/1154 <https://github.com/fail2ban/fail2ban/issues/1154>
Visiblement, ça n’a jamais abouti. Ceci dit, on peut aisément faire un script qui va toutes les X minutes regarder les ban en place, vérifier leur AS avec whois.cymru.com <http://whois.cymru.com/>, et s’il y a trop d’IP dans le même AS et si l’AS n’est pas whitelisté (ou le pays), on ban tous les préfixes de l’AS (en tapant dans un route-reflector qu’on a sous la main, ou dans les bases des RIR). David > Le 25 juin 2024 à 20:14, David M via FRsAG <frsag@frsag.org> a écrit : > > Pour moi fail2ban et autres ne sont pas capables de bloquer une attaques > provenant de plusieurs IP / d'un pool d'IP... et d'en déterminer le réseau > pour le bloquer dans son ensemble. Le peu de requête par IP fait passer > l'attaque sous les radars de fail2ban. > > Mais peut être que je me trombe ? Si c'est le cas je veux bien un bout de > doc, un bout de config... > > Le 25/06/2024 à 20:08, Franck Routier a écrit : >> ou https://linuxfr.org/news/reaction-remplacant-de-fail2ban >> <https://linuxfr.org/news/reaction-remplacant-de-fail2ban> ? (j'ai pas >> vraiment testé, juste vu la dépêche) >> >> Le mardi 25 juin 2024, 19:24:57 CEST Nicolas Parpandet via FRsAG a écrit : >> > >> > Hello, >> > >> > Oui ca existe, tu peux écrire tes propres règles "fail2ban" 😉 >> > >> > A+ >> > >> > Nicolas >> > ________________________________ >> > From: David M via FRsAG <frsag@frsag.org> <mailto:frsag@frsag.org> >> > Sent: Tuesday, June 25, 2024 18:27 >> > To: frsag@frsag.org <mailto:frsag@frsag.org> <frsag@frsag.org> >> > <mailto:frsag@frsag.org> >> > Subject: [FRsAG] Bloquer attaque http, ip multiple >> > >> > Bonjour à tous, >> > >> > J'ai de plus en plus (chez moi ou chez des clients) d'aspiration de >> > contenu et/ou /d'attaque DDoS un peu pauvre (difficile à dire) et c'est >> > difficile à contrer parce que ça vient de pool d'IP qui change quasi à >> > chaque requête :/ >> > * X.Y.202.142 >> > * X.Y.65.224 >> > * X.Y.96.202 >> > * Z.A.202.138 >> > * Z.A.65.196 >> > * Z.A.96.206 >> > >> > Bien sûr ce sont des IP qui provient de Singapour, de Russie... du trafic >> > illégitime au vu des requêtes / du nombres... >> > >> > Et ça génère de gros ralentissements/fait monter le load bien fort et les >> > requêtes légitimes n'ont plus de place... >> > >> > Pour l'instant je monitore et je bloque des subnet entier (exemple >> > X.Y.0.0/24) >> > >> > Vous vous doutez bien que j'ai pas vraiment envie d'aller vers des trucs à >> > la cloudflare... mais existe-t-il un équivalent "self hosted" et libre ? >> > >> > L'idée de bloquer le trafic par pays ici n'est pas envisageable en plus >> > d'être extrêmement peu fiable... >> > Une idée serait de faire un programme qui fait ce que je fais. À savoir >> > consulter le server-status et émettre des hypothèses de trafic illégitime >> > + bloquer celui-ci. Mais ça existe peut-être déjà ? >> > >> > Note : j'ai pas la main sur les connexions réseaux...ce sont des VPS et/ou >> > des Proxmox avec des LXC qui ce fond attaquer... >> > >> > David >> > >> > -- >> > https://retzo.net/ <https://retzo.net/> >> > Tél port : 0663691604 >> > Tél fix : 0972199940 Lundi|Mardi|Jeudi 9h30-16h ou Mercredi|Vendredi >> > 9h30-12h >> > >> > _______________________________________________ > Liste de diffusion du %(real_name)s > http://www.frsag.org/
_______________________________________________ Liste de diffusion du %(real_name)s http://www.frsag.org/
