Wpis z mikrobloga

Skopiuj link

03.05.2020, 18:51:55

Wykrycie i automatyczne wrzucenie do ipset to nie problem ale oczywiście zanim kretyn zorientuje się, że żaden z 20k proxy ip nie działa to jeszcze będzie próbował przez godzinę. A następnego dnia wróci z nową paczką adresów.

Jak się bronicie przed ddos/brute force lub podobnymi atakami, budujecie bazy adresów ip z publicznych list proxy i banujecie prewencyjnie całe bloki adresów?
Tylko skąd wziąć solidne info żeby przy okazji nie wyciąć legitnych użytkowników?

#ipset #iptables #ddos #nginx #webdev #linux

oczkers

03.05.2020, 20:06:12

@oczkers: ok znalazłem, jakby ktoś chciał to tutaj jest zbiór info
https://github.com/firehol/blocklist-ipsets/blob/master/README.md

w.....r

konto usunięte 03.05.2020, 21:39:38 via Wykop Mobilny (Android)

Taktyk

@oczkers: kto jest kretynem? Tak z ciekawości xd

oczkers

04.05.2020, 12:38:55

@wolny_kangur: pewnie jakiś rumun ¯\_(ツ)_/¯

Rexikon

18.05.2020, 13:44:41

@oczkers: nie lepiej zwykły rate limit?

oczkers

18.05.2020, 18:56:17

@Rexikon: To jest rozwiązanie jak nikt Cie nie atakuje. W sytuacji kiedy ktoś bombarduje z 10+k ip to jak sobie wyobrażasz ustawienie rate limitera żeby nie uciąć legitnych użytkowników i jednocześnie zatrzymać atak w miarę szybko i skutecznie?
Jak postawisz sam rate limiter to gość mając 10k ip za kilka dolarów zbomarduje formularz logowania milionem requestów i wróci za 24h czy jak to ustawisz albo po prostu rozpozna limiter i będzie

Rexikon

18.05.2020, 19:34:14 via Android

@oczkers: jak formularz to dobra captcha i rate limity stosuje przy atakach proxy 20k IP i dobrze się to sprawuje

oczkers

18.05.2020, 19:51:43 via Wykop Mobilny (Android)

@Rexikon: jasne można też od razu rzucać captche ale warto mieć listę potencjalnych atakujących żeby nie męczyć zwykłych użytkowników ;)
A jak obronisz wejście w api, też captcha?

Rexikon

18.05.2020, 20:28:16 via Android

@oczkers: tu już zwykły rate limit

oczkers

18.05.2020, 20:43:05

@Rexikon: No i przy 20k proxy masz ile, 100k "niepotrzebnych" requestów dziennie?
3mln w miesiąc, zaśmiecone logi itd, a jeszcze gorzej jak celem nie jest formularz tylko ddos i ktoś bardzo łatwo rozpozna ustawienia limitera. A wystarczy zwykły trigged aktywujący ipset z listą na bierząco aktualizowanych anonimowych proxy - 5 minut ataku i ciach wszystko przestaje mu działać, nieważne czy korzysta ze starych czy nowych proxy ( ͡° ͜ʖ

Rexikon

18.05.2020, 20:53:26 via Android

@oczkers: z doświadczenia wiem że nawet po zablokowaniu 1mln proxy z firehol to nadal dużo biją w strony

oczkers

18.05.2020, 21:03:29

@Rexikon: Ja mam na stałe zablokowane najbardziej spamerskie ip + listę z firehol oraz inny źródeł dynamicznie aktualizowaną o wszystkie ip z których kiedykolwiek był atak i to jest dołączane w razie ataku - skuteczność bliska 90% (a nawet 100% przy niektórych bardziej skompych atakujących ;-)) ale kiedy można warto blokować po cichu (nie rzucając komunikatu o blokadzie) żeby atakujący nie zaczął kombinować ze zmianami user-agenta czy innyc nagłówków bo później

Rexikon

18.05.2020, 21:14:52 via Android

@oczkers: ile masz łącznie wpisów IP?

oczkers

18.05.2020, 21:29:02

@Rexikon: chyba coś koło miliona normalnie, a później koło miliarda bo sam firehol na 1lvl który teoretycznie powinien być zawsze zablokowany daje 600mln ;-) ale część z tego jest na whiteliście bo lądują tam też np dnsy z racji podatności na wykorzystywanie w atakach czy wszystkie ip z lanu.

Jak chcesz same proxy to firehol_anonymous + dronbl ale tam niestety nie udostępniają pełnej listy więc trzeba robić dnsowe requesty jak przy

Aktywne Wpisy

Jaque

Jaque +24

3 godz. i 51 min temu

Serce mi się kroi, przyszedł na nogi do mnie bo źle się czuje

SaintWykopek

SaintWykopek +134

4 godz. i 13 min temu

Twórczość S.Kinga?

-hehe to główny bohater, jest pisarzem/artystą tak jak ja
-se mieszka w dupogrzmotach małych W STANIE MAINE, gdzie wszyscy są #!$%@? wieśniakami, oprócz głównego bohatera i jego rodzinki/pszyjaciół
-każdy #!$%@? wieśniak jest ważny, więc musimy czytać przez 50 stron o traumie dżona korniszona z dzieciństwa, kiedy był świadkiem jak jego pradziadek utonął w gnojówce po pijaku
-uuuuu uuuuu zaraz się stanie coś strasznego, a nie, jeszcze 30 stron opisu jak

SaintWykopek - Twórczość S.Kinga?

-hehe to główny bohater, jest pisarzem/artystą tak... — **źródło:** temp_file7344230319933624903

Aktywne Wpisy

Aktywne Znaleziska

Policjant zabił trzynastolatkę. Prokuratura i policjanci go chronią.

Raszyn. Sesja policjantów na polu marihuany. Fotki zrobili, rośliny zniknęły

Amnesty International: Izrael tuszuje zbrodnie wojenne

WP ujawnia: Zbigniew Ziobro zarobił tysiące w KRS, a nie głosował ani razu

Adam Glapiński złamał konstytucję, finansując deficyt państwa ze środków NBP

Popularne tagi