Inundações Fail2ban e tempo de resposta lento

2

Eu tentei procurar por isso; Eu encontrei muitas pessoas perguntando, mas não consegui encontrar uma solução que funcionasse (para mim).

Eu tenho um aplicativo que registra cada conexão em um arquivo de log personalizado.

Quando o fail2ban detecta mais de 10 conexões em 5 segundos do mesmo ip, proíbe o "atacante" por 600 segundos.

Acontece que o invasor pode fazer 11/20 conexões antes de ser banido (e tudo bem).

Depois disso recebo xxx.xxx.xxx.xxx already banned mensagens em fail2ban.log para cada linha > 11. Há uma dessas mensagens a cada segundo; É como se o fail2ban levasse 1 segundo para cada uma das linhas de log com o mesmo IP após a proibição.

Mas enquanto isso eu tenho outro invasor de outro IP e ele conecta com sucesso mais vezes (ou seja, 50) porque o fail2ban está analisando as linhas do log do IP anterior (1 por segundo).

E assim por diante ... Enquanto o fail2ban processa as linhas do log passado, novos invasores fazem milhares de conexões. Isso é incremental e apenas os primeiros atacantes são banidos.

Eu tenho fail2ban agora analisando linhas que eram de conexões feitas 1 ou mais horas antes.

    
por Ivan Maria Spadacenta 02.02.2016 / 19:05

0 respostas