Fail2Ban - mehrere Requests pro Sekunde

Alle Fragen, die rund um Fail2Ban (Konfiguration, Fehler, Filter...) sind.
Antworten
f2buser
Beiträge: 1
Registriert: 16. Jul 2015, 13:10

Fail2Ban - mehrere Requests pro Sekunde

Beitrag von f2buser »

Ich nutze seit einiger Zeit erfolgreich fail2ban und es wurden schon sehr viele IPs gebannt.

Manchmal kommen aber auch zwei bis fünf Requests in der selben Sekunde an meinen Webserver!
Wie kann ich solche Requests bannen?

Da schlägt zwar am Ende noch mein BadRequests-Filter an, aber eigentlich sollte der Spam-Filter anschlagen.

Angenommen es schickt jemand fünf Requests in der selben Sekunde. Der BadRequests-Filter bannt dann erst, wenn alle Requests vorbei sind.

Da liegt das Problem. Deswegen wollte ich einen Spam-Jail einbauen. Der Filter besteht bereits, es fehlt nur noch der Jail und da weiß ich nicht wie man ihn konfigurieren muss.

Benutzeravatar
Martin
Beiträge: 400
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Fail2Ban - mehrere Requests pro Sekunde

Beitrag von Martin »

Hallo,

man kann den Spam-Filter auf z.B. 1 count stellen (maxretry) und diesen umbenennen und in der jail.conf vor den anderen eintragen, dann sollte dieser entsprechend davor schon greifen.
Fail2ban benötigt aber immer ein paar Millisekunden, wodurch selbst nach dem ersten Eintrag, wenn die anderen Requests ebenfalls eingehen, diese bereits durch sind, bevor die IP gesperrt wurde.

Bei http-Flood Angriffen ist dies genügend, wenn es sowieso nur 5 Requests sind, empfiehlt es sich die max_connections vom Webserver einfach zu erhöhen.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

Antworten