Seite 1 von 1

Fail2Ban - mehrere Requests pro Sekunde

Verfasst: 16. Jul 2015, 13:14
von f2buser
Ich nutze seit einiger Zeit erfolgreich fail2ban und es wurden schon sehr viele IPs gebannt.

Manchmal kommen aber auch zwei bis fünf Requests in der selben Sekunde an meinen Webserver!
Wie kann ich solche Requests bannen?

Da schlägt zwar am Ende noch mein BadRequests-Filter an, aber eigentlich sollte der Spam-Filter anschlagen.

Angenommen es schickt jemand fünf Requests in der selben Sekunde. Der BadRequests-Filter bannt dann erst, wenn alle Requests vorbei sind.

Da liegt das Problem. Deswegen wollte ich einen Spam-Jail einbauen. Der Filter besteht bereits, es fehlt nur noch der Jail und da weiß ich nicht wie man ihn konfigurieren muss.

Re: Fail2Ban - mehrere Requests pro Sekunde

Verfasst: 16. Jul 2015, 22:30
von Martin
Hallo,

man kann den Spam-Filter auf z.B. 1 count stellen (maxretry) und diesen umbenennen und in der jail.conf vor den anderen eintragen, dann sollte dieser entsprechend davor schon greifen.
Fail2ban benötigt aber immer ein paar Millisekunden, wodurch selbst nach dem ersten Eintrag, wenn die anderen Requests ebenfalls eingehen, diese bereits durch sind, bevor die IP gesperrt wurde.

Bei http-Flood Angriffen ist dies genügend, wenn es sowieso nur 5 Requests sind, empfiehlt es sich die max_connections vom Webserver einfach zu erhöhen.