Wpis z mikrobloga

Skopiuj link

03.05.2020, 18:51:55

Wykrycie i automatyczne wrzucenie do ipset to nie problem ale oczywiście zanim kretyn zorientuje się, że żaden z 20k proxy ip nie działa to jeszcze będzie próbował przez godzinę. A następnego dnia wróci z nową paczką adresów.

Jak się bronicie przed ddos/brute force lub podobnymi atakami, budujecie bazy adresów ip z publicznych list proxy i banujecie prewencyjnie całe bloki adresów?
Tylko skąd wziąć solidne info żeby przy okazji nie wyciąć legitnych użytkowników?

#ipset #iptables #ddos #nginx #webdev #linux

oczkers

03.05.2020, 20:06:12

@oczkers: ok znalazłem, jakby ktoś chciał to tutaj jest zbiór info
https://github.com/firehol/blocklist-ipsets/blob/master/README.md

w.....r

konto usunięte 03.05.2020, 21:39:38 via Wykop Mobilny (Android)

Taktyk

@oczkers: kto jest kretynem? Tak z ciekawości xd

oczkers

04.05.2020, 12:38:55

@wolny_kangur: pewnie jakiś rumun ¯\_(ツ)_/¯

Rexikon

18.05.2020, 13:44:41

@oczkers: nie lepiej zwykły rate limit?

oczkers

18.05.2020, 18:56:17

@Rexikon: To jest rozwiązanie jak nikt Cie nie atakuje. W sytuacji kiedy ktoś b--------e z 10+k ip to jak sobie wyobrażasz ustawienie rate limitera żeby nie uciąć legitnych użytkowników i jednocześnie zatrzymać atak w miarę szybko i skutecznie?
Jak postawisz sam rate limiter to gość mając 10k ip za kilka dolarów zbomarduje formularz logowania milionem requestów i wróci za 24h czy jak to ustawisz albo po prostu rozpozna limiter i

Rexikon

18.05.2020, 19:34:14 via Android

@oczkers: jak formularz to dobra captcha i rate limity stosuje przy atakach proxy 20k IP i dobrze się to sprawuje

oczkers

18.05.2020, 19:51:43 via Wykop Mobilny (Android)

@Rexikon: jasne można też od razu rzucać captche ale warto mieć listę potencjalnych atakujących żeby nie męczyć zwykłych użytkowników ;)
A jak obronisz wejście w api, też captcha?

Rexikon

18.05.2020, 20:28:16 via Android

@oczkers: tu już zwykły rate limit

oczkers

18.05.2020, 20:43:05

@Rexikon: No i przy 20k proxy masz ile, 100k "niepotrzebnych" requestów dziennie?
3mln w miesiąc, zaśmiecone logi itd, a jeszcze gorzej jak celem nie jest formularz tylko ddos i ktoś bardzo łatwo rozpozna ustawienia limitera. A wystarczy zwykły trigged aktywujący ipset z listą na bierząco aktualizowanych anonimowych proxy - 5 minut ataku i ciach wszystko przestaje mu działać, nieważne czy korzysta ze starych czy nowych proxy ( ͡° ͜

Rexikon

18.05.2020, 20:53:26 via Android

@oczkers: z doświadczenia wiem że nawet po zablokowaniu 1mln proxy z firehol to nadal dużo biją w strony

oczkers

18.05.2020, 21:03:29

@Rexikon: Ja mam na stałe zablokowane najbardziej spamerskie ip + listę z firehol oraz inny źródeł dynamicznie aktualizowaną o wszystkie ip z których kiedykolwiek był atak i to jest dołączane w razie ataku - skuteczność bliska 90% (a nawet 100% przy niektórych bardziej skompych atakujących ;-)) ale kiedy można warto blokować po cichu (nie rzucając komunikatu o blokadzie) żeby atakujący nie zaczął kombinować ze zmianami user-agenta czy innyc nagłówków bo

Rexikon

18.05.2020, 21:14:52 via Android

@oczkers: ile masz łącznie wpisów IP?

oczkers

18.05.2020, 21:29:02

@Rexikon: chyba coś koło miliona normalnie, a później koło miliarda bo sam firehol na 1lvl który teoretycznie powinien być zawsze zablokowany daje 600mln ;-) ale część z tego jest na whiteliście bo lądują tam też np dnsy z racji podatności na wykorzystywanie w atakach czy wszystkie ip z lanu.

Jak chcesz same proxy to firehol_anonymous + dronbl ale tam niestety nie udostępniają pełnej listy więc trzeba robić dnsowe requesty jak