Re: Blockieren von IP Adressen
Hallo Thomas,
danke für Deine lange Antwort.
fail2ban wird bei mir seit langem eingesetzt.
Am 24.08.22 um 17:13 schrieb debian-mailing-lists@thomas.freit.ag:
>
> Wie viel Aufwand du darein stecken willst, musst Du Dir aber überlegen, diese
> Anfragen kommen in der Regel automatisiert aus irgendwelchen Botnetzen und bekommen
> von deinem Webserver einen entsprechenden HTTP Status (404 Not Found) und das war es.
> Die IP kommt nicht so schnell wieder, das Sperren hat also wenig Effekt.
Wahrscheinlich hast Du recht, dass ich fail2ban noch stärker nutzen
könnte. Auch meine IP-Blocks gelten immer für 10 Minuten und verhindern
genauso, wie bei fail2ban massenweise folgende Zugriffe auch über andere
Ports. Bei meinem System kann ich zur Laufzeit URLs rein- oder rausnehmen.
>
> Viele dieser Botnetze landen relativ schnell auf DNS Blacklists. Für Apache httpd
> gibt es ein Modul mod_defensible (https://packages.debian.org/bullseye/libapache2-mod-defensible)
> mit dem Du Requests von solchen IPs auch vorab blocken kannst. Die XBL von SPAMHAUS
> (https://www.spamhaus.org/xbl/) ist kostenlos verfügbar und hat bei mir merklich dafür
> gesorgt, dass weniger Bot-Zugriffe beim Webserver aufschlagen.
Ach ja, das ist eine gute Idee! Muss mal schauen, ob es sowas auch für
NGINX gibt...
>
> Für beides gilt: Potenziell sperrst Du mit solchen Mechanismen auch valide Nutzer
> aus (die über dynamische IP-Ranges kommen), zu lange Blocken ist daher nicht
> ratsam, kurz blocken bringt nicht übermäßig viel. In dem Zusammenhang ist es
> praktisch, dass fail2ban bei mehr Verstößen auch die Sperrzeit erhöhen kann,
> damit kann man zunächst kurz sperren und dann verlängern (siehe z.B.:
> https://visei.com/2020/05/incremental-banning-with-fail2ban/). Das geht auch
> über verschiedene Dienste, die Du mit fail2ban überwachst hinweg (und damit
> erwischt man dann eher sinnvoll zu sperrende IPs).
>
Valide Nutzer werden mit meiner Methode nicht ausgesperrt. Sämtliche
Zugriffe auf PHP-Urls sind Angriffe, da bei mir kein PHP installiert ist.
--
Manfred Rebentisch
Reply to: