Совместное использование черных списков IP-адресов
Существуют ли какие-либо инструменты, похожие на fail2ban, которые позволили бы совместное использование черных списков IP-адресов? Я ищу что-то похожее на список черных дыр на основе DNS или список черных дыр в реальном времени, которые используются для остановки распространения спама. Однако меня интересует не столько СПАМ, сколько злоумышленники, выполняющие такие действия, как сканирование портов, угадывание паролей и т. Д. Мои серверы подвергаются атакам сотни раз в день, и злоумышленники могли бы быть отключены намного быстрее, если бы был список известных ( подозреваются?) злоумышленники.
Такие списки существуют. Или довольно близко. Пример: https://www.spamhaus.org/sbl/
Но я бы посоветовал не полагаться на эти списки.
Прежде всего установите такой инструмент, как fail2ban или CSF + LFD на ваших серверах - если вы еще этого не сделали. Тогда оскорбительные IP-адреса будут быстро заблокированы на уровне брандмауэра.
Когда у вас есть машина, открытая в Интернете, сканирование - это реальность. Проблема в том, что некоторые действия по сканированию являются законными, а некоторые - вредоносными. Не у всех одинаковые критерии того, что составляет вредоносную деятельность.
Например, поисковые системы будут регулярно сканировать Интернет на порты 80/443, чтобы обнаружить новые хосты и веб-сайты для индексации и т. Д. Это совершенно законно. Некоторые хосты проверяют серверы FTP / SSH / telnet / Mysql / SQL и т. Д. Или сканируют все порты TCP / IP. Многим системным администраторам такое зондирование не понравится. Но это все еще может быть законным для статистических целей.
Всегда интересно знать, насколько распространены FTP-серверы, Gopher или что-то еще. Или соответствующая рыночная доля поставщиков программного обеспечения для веб-серверов. Чтобы собрать эти данные, вам необходимо сканировать.
Таким же образом обнаруживаются некоторые плохо защищенные серверы, на которых размещены базы данных или конфиденциальные файлы, и сообщается о них посредством ответственного раскрытия .
Так что мои критерии будут Проявлять некоторую снисходительность, когда дело касается сканирования, но сдерживать запросы. С другой стороны, атакам грубой силы необходимо безжалостно пресекать. По умолчанию CSF + LFD заблокирует IP-адрес на один час после 5 неудачных попыток SSH, как мне кажется. Он также может автоматически блокировать попытки сканирования портов.
Вы можете настроить ограничения, а также создать свои собственные правила.
Короче говоря, я бы предпочел блокировать IP-адреса, фактически атакующие мои серверы, чем базовые процесс принятия решения в списке подержанных товаров, который может быть неточным или уместным. Нет списка, который охватил бы всех возможных злоумышленников.
Да, такие инструменты есть, но на самом деле вы можете использовать fail2ban. См. https://www.blocklist.de/en/ . У них есть конфигурация для fail2ban, которая также включает использование badips.com
https://docs.danami.com/juggernaut/user-guide/ip-block-lists имеет ссылки на другие списки, которые могут разрешать пользователю вклад.
Я бы не стал их использовать, потому что ими легко злоупотребить.
AbuseIPDB предлагает API для проверки IP-адреса по нескольким категориям злоупотреблений. Он может интегрироваться с CSF в обоих направлениях (запрос и отчет) и с fail2ban только для сообщения о злоупотреблениях.
Я бы не стал использовать IP-адреса в этой базе данных, чтобы отрицать доступ с IP-адреса, но это может быть намек на установку более низких пределов fail2ban .
Однако, как и все другие ответы, эта база данных может быть легко переполнена поддельными отчетами от спамеров всякий раз, когда это становится проблемой.