Каков хороший способ обнаружения DoS и DDoS в Fail2Ban?
Я настраиваю Fail2Ban на своем веб-сервере Ubuntu, чтобы он не стал жертвой DoS / DDoS. Я не хочу использовать Cloudflare, потому что мне нужно перенаправить свой DNS и использовать их сертификат SSl.
В настоящее время я нашел в сети скрипт, который проверяет более 1 запроса HTTP HEAD в секунду или более 1 запроса к xmlrpc.php в секунду. Я не думаю, что это достаточная защита, так как это не единственные типы запросов, которые люди могут использовать для выполнения DDoS-атаки.
Я хочу ограничить количество GET / POST запросы, которые может сделать данный IP-адрес в коротком окне, но я не уверен, как мне установить ограничение, поскольку большие страницы, загружающие много Javascript, CSS или изображения сделают много запросов GET за короткий промежуток времени. Стоит ли мне смотреть на ограничение запросов GET / POST , или я должен искать что-то еще? Почему?
Может быть трудно увидеть разницу между хорошими и плохими парнями, просто проверив скорость запросов в секунду. Вам нужно будет запустить сценарий в своей среде, чтобы увидеть, сколько запросов с одного IP-адреса за 5 минут (пример) является «нормальным» для вашего веб-сайта, прежде чем принимать окончательное решение.
После того, как вы определили нормальную скорость, можно будет подсчитать GET и / или POST (в зависимости от анализа вашего файла журнала) с вашим сценарием.
Тем не менее, можно найти другие подозрительные действия в файлах журнала, чтобы фильтр, например, сканирование сценариев или исполняемых файлов и т. д. (GET / POST, который «надеюсь» вызывает ошибку на хорошо настроенном веб-сервере ;-))
Я использовал эту внешнюю ссылку fail-2-ban-link в моих собственных системах.
Хорошая настройка - проверка нескольких соединений в течение 1 секунды. Я считаю, что 100 подключений за 1 секунду - это что-то очень подозрительное и должно быть заблокировано.
Поскольку вы используете Apache, я рекомендую также использовать mod_evasive вместе с fail2ban.
Использование mod_evasive .
Использование fail2ban .