[LatinaLUG] Limitare/Bloccare un host se supera N connessioni

Gabriele Mambrini gm@badpenguin.org
Mer 6 Feb 2013 21:36:40 CET


Puoi anche usare il modulo recent di iptables. Ad esempio queste
regole bloccano su ssh gli host che hanno fatto più di sei connessioni
di fila separate meno di 60 secondi l'una dall'altra.

-A INPUT -p tcp -m tcp --dport 22 -m recent --update --seconds 60
--hitcount 6 --rttl --name SSH --rsource -m limit --limit 1/min
--limit-burst 3 -j LOG --log-prefix "SSH_brute_force "
-A INPUT -p tcp -m tcp --dport 22 -m recent --update --seconds 60
--hitcount 6 --rttl --name SSH --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set
--name SSH --rsource -j ACCEPT

2013/2/1 Andrea Libralato <andrea.libralato@gmail.com>:
> Hola a tutti,
> la domanda è relativamente semplice: è possibile limitare e/o bloccare
> un host che richiede più di N connessioni in un dato intervallo di
> tempo?
>
> Problema: uno (o più) perditempo stanno attaccando da diversi giorni
> un server web che riceve decine di migliaia di richieste facendo
> lievitare il consumo di banda in maniera importante e vorrei bloccare
> (magari anche a tempo, tipo 1 giorno, 1 settimana...) l'host quando
> questo supera la soglia di richieste (hits) che decido (va bene anche
> un valore per tutti, ad esempio 15000) nell'arco temporale impostato
> (es. 3 ore).
> Ho provato dapprima con htaccess, ma non mi sembra che cambi molto,
> poi facendo bloccare gli IP tramite firewall (a monte del server, ma
> non è che si possono inserire migliaia di IP...) e vorrei mettere su
> un sistema "automatico" che blacklisti in automatico gli host
> "cattivi".
>
> Certamente sarà possibile in qualche modo, ma vorrei una soluzione
> semplice da mettere in pratica (considerando che non ho accesso
> amministrativo, ma potrei richiedere l'intervento degli
> amministratori) o almeno qualche indicazione su come poter affrontare
> la situazione.
>
> Grazie in anticipo... ;-)
>
> --
> Ciao,
> Andrea
> _______________________________________________
> http://www.llg.it
> latina mailing list
> latina@lists.linux.it
> http://lists.linux.it/listinfo/latina



-- 
Gabriele


Maggiori informazioni sulla lista latina