Назад | Перейти на главную страницу

Совместное использование черных списков IP-адресов

Существуют ли какие-либо инструменты, похожие на fail2ban, которые позволяли бы делиться черными списками IP-адресов? Я ищу что-то похожее на список черных дыр на основе DNS или список черных дыр в реальном времени, которые используются для остановки распространения спама. Однако меня интересует не столько СПАМ, сколько злоумышленники, выполняющие такие действия, как сканирование портов, угадывание пароля и т. Д. Мои серверы подвергаются атакам сотни раз в день, и злоумышленники могли бы быть отключены намного быстрее, если бы был список известных ( подозревается?) злоумышленники.

Злоупотребление IPDB предлагает API для проверки IP-адреса на несколько категорий злоупотреблений. Он может интегрироваться с CSF в обоих направлениях (запрос и отчет) и с fail2ban только для сообщения о нарушении.

Я бы не стал использовать IP-адреса в этой базе данных для запрета доступа с IP-адреса, но это может быть намек на то, чтобы установить меньшее значение. fail2ban пределы.

Однако, как и все другие ответы, эта база данных может быть легко переполнена поддельными отчетами от спамеров, когда это становится проблемой.

Да, такие инструменты есть, но на самом деле вы можете использовать fail2ban. Видеть https://www.blocklist.de/en/. У них есть конфигурация для fail2ban, которая также включает использование badips.com

https://docs.danami.com/juggernaut/user-guide/ip-block-lists содержит ссылки на другие списки, которые могут разрешать участие пользователей.

Я бы не стал их использовать, потому что ими легко злоупотреблять.

Такие списки существуют. Или довольно близко. Пример: https://www.spamhaus.org/sbl/

Но я бы посоветовал не полагаться на эти списки.

Прежде всего установите такой инструмент, как fail2ban или CSF + LFD на ваших серверах - если вы еще этого не сделали. Тогда нарушающие IP-адреса будут быстро заблокированы на уровне брандмауэра.

Когда у вас есть машина, выставленная в Интернете, сканирование - это факт. Проблема в том, что некоторые действия по сканированию являются законными, а некоторые - вредоносными. Не у всех одинаковые критерии в отношении того, что считается вредоносной деятельностью.

Например, поисковые системы будут регулярно сканировать Интернет на порты 80/443, чтобы обнаружить новые хосты и веб-сайты для индексации и т. Д. Это совершенно законно. Некоторые хосты проверяют серверы FTP / SSH / telnet / Mysql / SQL и т. Д. Или сканируют все порты TCP / IP. Многим системным администраторам такое зондирование не понравится. Но это все еще может быть законным для статистических целей.

Всегда интересно узнать, насколько распространены FTP-серверы, Gopher или что-то еще. Или соответствующая рыночная доля поставщиков программного обеспечения для веб-серверов. Чтобы агрегировать эти данные, вам необходимо сканировать.

Таким же образом обнаруживаются некоторые плохо защищенные серверы, на которых размещены базы данных или конфиденциальные файлы. ответственное раскрытие информации.

Так что моим критерием было бы проявить некоторую снисходительность, когда дело доходит до сканирования, но ограничивать количество запросов. С другой стороны атаки методом перебора нужно безжалостно пресекать. По умолчанию CSF + LFD Я полагаю, что после 5 неудачных попыток SSH заблокирует IP-адрес на один час. Он также может автоматически блокировать попытки сканирования портов.

Вы можете настроить пределы, а также создать свои собственные правила.

Короче говоря, я бы предпочел заблокировать IP-адреса, действительно атакующие мой серверов, чем основывать процесс принятия решения на вторичном списке, который может быть неточным или уместным. Нет списка, который охватил бы всех возможных злоумышленников.