Re: Blockieren von IP Adressen

To: debian-user-german@lists.debian.org
Subject: Re: Blockieren von IP Adressen
From: debian-mailing-lists@thomas.freit.ag
Date: Wed, 24 Aug 2022 17:13:40 +0200
Message-id: <[🔎] f1715e9d-de9b-5b92-6ecf-d415240197d1@thomas.freit.ag>
In-reply-to: <[🔎] 51357701-c0b0-f330-9eaf-c161baa0471c@comparat.de>
References: <[🔎] 51357701-c0b0-f330-9eaf-c161baa0471c@comparat.de>

Hallo Manfred,

On 24.08.22 12:21, Manfred Rebentisch wrote:
> mit meiner neuen Software für Websites und Webapplications kann ich
> IP-Adressen automatisch komplett vom Serverzugriff aussperren, wenn
> bestimmte URLs aufgerufen werden. Das funktioniert wahlweise mit
> iptables oder fail2ban und läuft super.

> Doch was passiert, wenn tausende von Bots Millionen von Bad-Urls
> aufrufen? [Bad-Urls sind nicht Schreibfehler, sondern sowas wie
> "\x80w\x01\x03\x01" oder "wp-login.php"]

Du kannst mit fail2ban auch Deine Webserverlogs überwachen und entsprechend
sperren. Dazu musst Du einen entsprechenden Filter konfigurieren und in den
Logs per Regex nach solchen Zugriffen suchen.

Infos findest Du unter: https://fail2ban.readthedocs.io/en/latest/filters.html#developing-filter-regular-expressions,
zusätzlich gibt es auch schon vorgefertigte Filter, z.B. bei GitHub:
https://github.com/topics/fail2ban-filter, aus denen Du Anregungen
ziehen kannst (oder einfach direkt verwenden).

Wie viel Aufwand du darein stecken willst, musst Du Dir aber überlegen, diese
Anfragen kommen in der Regel automatisiert aus irgendwelchen Botnetzen und bekommen
von deinem Webserver einen entsprechenden HTTP Status (404 Not Found) und das war es.
Die IP kommt nicht so schnell wieder, das Sperren hat also wenig Effekt.

> Hat jemand Lese-Tipps, über die ich in das Thema eintauchen kann?

Viele dieser Botnetze landen relativ schnell auf DNS Blacklists. Für Apache httpd
gibt es ein Modul mod_defensible (https://packages.debian.org/bullseye/libapache2-mod-defensible)
mit dem Du Requests von solchen IPs auch vorab blocken kannst. Die XBL von SPAMHAUS
(https://www.spamhaus.org/xbl/) ist kostenlos verfügbar und hat bei mir merklich dafür
gesorgt, dass weniger Bot-Zugriffe beim Webserver aufschlagen.

Für beides gilt: Potenziell sperrst Du mit solchen Mechanismen auch valide Nutzer
aus (die über dynamische IP-Ranges kommen), zu lange Blocken ist daher nicht
ratsam, kurz blocken bringt nicht übermäßig viel. In dem Zusammenhang ist es
praktisch, dass fail2ban bei mehr Verstößen auch die Sperrzeit erhöhen kann,
damit kann man zunächst kurz sperren und dann verlängern (siehe z.B.:
https://visei.com/2020/05/incremental-banning-with-fail2ban/). Das geht auch
über verschiedene Dienste, die Du mit fail2ban überwachst hinweg (und damit
erwischt man dann eher sinnvoll zu sperrende IPs).

-- 
hth,
Thomas

Reply to:

Follow-Ups:
- Re: Blockieren von IP Adressen
  - From: Manfred Rebentisch <debianlist@comparat.de>
- Re: Blockieren von IP Adressen
  - From: Manfred Rebentisch <debianlist@comparat.de>

References:
- Blockieren von IP Adressen
  - From: Manfred Rebentisch <debianlist@comparat.de>

Prev by Date: Re: Blockieren von IP Adressen
Next by Date: Re: Blockieren von IP Adressen
Previous by thread: Re: Blockieren von IP Adressen
Next by thread: Re: Blockieren von IP Adressen
Index(es):
- Date
- Thread