Dejme tomu, že mám veřejnou IP a na ní hostuju různé druhy serverů, www hosting, smtp atd... Každý se asi setká s tím, že mu tam chodí různé automaty, boti(search engine), pak tam zkouší různé URL typu GET /rom0?cmd=%2Eshell/rm%20-rf atd... Nebo na IMAP se zkouší některé adresy přihlašovat 100krát denně atd atd
kdo to loguje, tak má přehled, případně používá přehled přímo v daných Dashboardech, vidí tam frekventované adresy....
Já bych je dal do iptables -j DROP ( v lepším případě s --comment, --match-set, -j LOG+DROP , případně -m recent, --connlimit ,--limit)
Takhle ten seznam pak ale bobtná, pak je taky problém, že ne každá malicous IP(případně rovnou rozsahy), která se dostane na seznam třeba podle zablokování nevalidní SMTP komunikace, není "hacker", ale třeba napadený počítač uživatele, kterému by nemělo být bráněno dostat se na
www (http 80 a 443). Tím spíš, ,dyž za jednou natovanou adresou může být víc uživatelů
A ještě pozorování, z deseti adres třeba 7 jich otravuje jen 2 dny a pak dá pokoj, 3 třeba zkouší nonstop 10 požadavků za zen a nebo pak je skupina, kde někdo zkouší 100 rq/s (ale třeba po hodině by to ustalo). Další aspekt je, že někde je to vyloženě jedna IP a jinde jsou v shluku v nějaké rozsahu (většinou /24, ale mám 2 případy nějakého nizozemského providera /16)
To je popis jak to dělat po domácku.. Má otázka jak tohle řešit lépenež sadou iptables
A druhá otázka je ,jak tohle řeší webhostingové služby (multihosting s virtualhosty tedy s víc doménama a taky víc IP než jednou ať už víc IP na jednom stroji nebo více stroji, prostě M:N a nebo rovnou s load balancerem)... V téhle oblasti je i druhá strana mince dostupnost, protože se může stát, že vložením adresy do REJECTu která lezla po SMTP se zablokuje WWW pro ni(nebo rozsah) pro nevinné uživatele, kteří mají tu smůlu že jsou v rozsahu útočníka/ za NATem,kde je útočník a nebo jen mají napadený počítač...
Nezdá se mi, že by ručně admin sledoval countery iptables nebo dashboard serveru a během šichty operoval s iptables -D INPUT / -I INPUT
Jak reálně na web hostinízích funguje ochrana proti malicious aktérům, IP adresám z blocklistů ?
Nezajímá mě tolik konkrétní produkt, ale spíš přístup a koncept a přístup.
Třetí aspekt je časové ohraničení blokování. Protože se na problematický traffic přijde, provider upozorní zákazníka(zafiltruje porty), uživatel "udělá reinstall widlí když má pomalý internet" a prostě nedá se dát -DROP na furt