Fail2Ban no Apache Server para proteger contra ataques DoS?

3

Eu fiz uma pergunta sobre o StackExchange de segurança de TI sobre a proteção contra ataques de negação de serviço. Uma das respostas foi instalar o Fail2Ban.

Conversei com as pessoas que administram o servidor e eles me disseram que o Fail2ban é instalado por padrão para observar tentativas de login com falha no SSH. Eles perguntaram se eu queria que ele assistisse outros serviços no servidor.

Quais serviços eu deveria ter assistido pelo Fail2ban para proteger contra os ataques DoS?

Isso seria apenas os serviços HTTP? Preste atenção a várias solicitações do mesmo IP dentro de um período x?

Um dos atacados pareceu criar muita conexão com o banco de dados MySQL com o comando sleep .

    
por Jeff 20.02.2012 / 16:27

4 respostas

4

O Fail2Ban é mais eficaz no banimento de IPs por 'tentativas malsucedidas'. Como tal, não é realmente a ferramenta mais adequada para assistir a ataques DoS reais. Eu defino o Fail2Ban para assistir ao arquivo de log do erro HTTPd do Apache. Os IPs que têm 20 solicitações "inválidas" dentro de 5 minutos são banidos por 5 minutos. Isso reduz os script kiddies e similares, mas realmente não protege de maneira alguma contra um ataque direcionado.

Mod_evasive e mod_security cam ajudam a reduzir potenciais vetores DoS, mas sem saber como o seu site funciona, eu não poderia fornecer soluções bullet.

    
por 20.02.2012 / 17:11
2

Há um equívoco bastante comum de que executar blocos de algum tipo pode impedir, ou pelo menos aliviar significativamente, um ataque DoS. Embora isso possa ser verdade para ataques simples e crus, a realidade é que ataques de DoS realmente eficazes não exigem uma resposta do sistema atacado. O efeito desejado é alcançado simplesmente inundando o sistema com pacotes de entrada e nem importa quais são esses pacotes. Isso funciona por dois motivos.

  1. A largura de banda da rede pode ser sobrecarregada pelo ataque
  2. O sistema de destino deve examinar cada pacote antes que ele saiba o que fazer com ele e que possa mantê-lo tão ocupado que seja incapaz de processar qualquer tráfego "real".

A partir disso, deve ficar evidente que o fail2ban, ou qualquer outra coisa que não seja do tipo, pode, na melhor das hipóteses, ter apenas um efeito mínimo sobre os ataques que escutam uma resposta do alvo.

    
por 20.02.2012 / 20:19
1

Eu tenho fail2ban em myservers configurados para banir por 15 min após 5 tentativas fracassadas com intervalos de IP isentos para usuários internos. Eu estava recebendo muitas tentativas de login fora da China, nada direcionado, mas ainda cerca de 5-10k por dia entre 1AM e 6AM. Tão útil como é, não terá efeito em um DoS.

Um DoS precisa ser tratado na camada 3 ou 4 no perímetro de sua rede. Se o ataque chegar a um servidor, seu allready vai ser desligado.

    
por 18.07.2013 / 18:54
0

Veja este artigo sobre como proteger o Apache com o fail2ban, incluindo uma regra personalizada para ataques DoS link

    
por 11.10.2017 / 11:10