O que é uma boa maneira de detectar DoS e DDoS no Fail2Ban?

Question

O que é uma boa maneira de detectar DoS e DDoS no Fail2Ban?

#1 resposta do (2 votos)
#2 resposta do (1 votos)

1

Estou configurando o Fail2Ban no meu servidor web Ubuntu para evitar que ele seja uma vítima do DoS / DDoS. Eu não quero usar Cloudflare porque eu tenho que encaminhar meu DNS e usar seu certificado SSl.

Atualmente, encontrei um script on-line que verifica mais de 1 solicitação HTTP HEAD por segundo ou mais de 1 solicitação para xmlrpc.php por segundo. Não acho que seja proteção suficiente, pois esses não são os únicos tipos de solicitações que as pessoas podem empregar para executar um ataque DDoS.

Estou tentando restringir o número de GET / POST que um determinado IP pode fazer em uma pequena janela, mas não sei como devo definir a restrição, pois páginas grandes carregam muito de Javascript, CSS ou imagens produzirão muitas solicitações GET em um curto período de tempo. Eu deveria estar olhando para limitar as solicitações GET / POST ou deveria estar procurando outra coisa? Por quê?

apache2 fail2ban ubuntu denial-of-service ddos

por terresquall 16.11.2018 / 11:33

2 respostas

1

Uma boa configuração é verificar várias conexões em um segundo. Acredito que 100 conexões em 1 segundo é algo muito suspeito e deve ser bloqueado.

Ao usar o Apache, recomendo também usar o mod_evasive junto com o fail2ban.

Usando mod_evasive .

Usando fail2ban .

por 16.11.2018 / 13:40

Tags apache2 fail2ban ubuntu denial-of-service ddos

Não é possível colocar a rede em funcionamento depois da configuração do pi-hole cURL e BLOB do Azure com cabeçalho HTTP do SAS, obrigatório para essa solicitação, não especificado

score 2 · Accepted Answer

Pode ser difícil ver a diferença de bons ou maus, apenas verificando a taxa de solicitações por segundo. Você precisaria executar o script em Seu ambiente para ver quantas solicitações de um único endereço IP por 5 minutos (exemplo) são "normais" para o seu site, antes de tomar a decisão final.

Depois de ter descoberto a taxa normal, deve ser possível contar GET e / ou POST (dependendo da sua análise de arquivo de log) com o seu script.

É possível encontrar outras atividades suspeitas nos arquivos de log para filtrar, como a verificação de scripts ou executáveis etc. (GET / POST que "esperançosamente" causa um erro em um servidor da Web bem configurado ;-))

Eu usei este link externo de proibição-2-ban em meus próprios sistemas.