Re: [HS][up!] fail2ban
On 2015-02-16 14:38:47 +0100, Philippe Gras wrote:
> Le 16 févr. 15 à 14:18, Vincent Lefevre a écrit :
> >D'un autre côté, faire un DROP embête plus l'attaquant, qui va perdre
> >son temps à faire des requêtes qui n'aboutiront pas. Mais...
>
> Non, le DROP n'embête pas plus l'attaquant que ça. Tu loues un VPN à
> la journée, la semaine ou au mois et t'as un abonnement identique pour
> X, Y ou Z Ko de trafic, dans une certaine limite évidemment.
Ce n'est pas le trafic qui est important ici. Quand on fait un DROP,
le ssh qui a été lancé reste actif sur la machine cliente pendant un
certain temps, alors qu'avec un REJECT, le ssh termine immédiatement.
Donc avec des DROP, l'attaquant peut donc faire moins de tentatives
s'il passe son temps à tomber sur des DROP (même s'il fait des ssh
en parallèle, le parallélisme a ses limites).
[...]
> Le fait d'avoir changé le DROP en REJECT m'a permis d'en décourager
> beaucoup, en seulement quelques jours. Je suis en train de généraliser
> l'option sur tous mes filtres.
>
> Avec le DROP quand tu lèves le ban, tu vois les mêmes IP réapparaître.
>
> On a vraiment l'impression que les mecs ne récupèrent pas les données
> de leurs bots, c'est n'importe quoi !
En même temps, cela permet de repérer les adresses IP en question.
--
Vincent Lefèvre <vincent@vinc17.net> - Web: <https://www.vinc17.net/>
100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/blog/>
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)
Reply to: