Рейтинг:0

Обнаружение ботов с помощью fail2ban

флаг cn

Я хочу знать, можно ли использовать в fail2ban какое-то правило/скрипт, который обнаруживает ботов не только по maxretry в заданном количестве секунд, но и путем определения некоторых шаблонов для каждого IP: например, допустим, что IP-адрес обращается к странице каждые 10-15 секунд, а другой IP-адрес обращается к ней каждые 30-45 секунд.

У меня проблемы с пользователями, которые используют скрипты pyautogui, и я не могу определить IP-адреса, стоящие за ботами, потому что у всех разные шаблоны.

Кроме того, я использую Sucuri, у которого в этом случае защита 0%. Я не могу переключиться на другую службу брандмауэра, потому что у этой всего 6 IP-адресов (например, у CloudFlare более 20), а у меня есть только 10 правил брандмауэра, также максимальные IP-адреса, в белый список моего провайдера сервера (я защищаюсь от атак через IP , а не только DNS).

Есть ли другой инструмент, который может это сделать? Заранее спасибо за помощь и предложения!

С наилучшими пожеланиями!

djdomi avatar
флаг za
установите критерии поиска около 3 часов за 5 сбоев, ip будет забанен наверняка
Рейтинг:0
флаг cn

fail2ban хорош в обнаружении известных плохих паттернов, которые повторяются. Множественные ошибки аутентификации ssh соответствуют регулярному выражению и забанены.

fail2ban плохо обнаруживает неизвестные шаблоны и не имеет очевидного механизма срабатывания, основанного только на времени. Отметить все как неудавшееся и разобраться в действиях (которые вам нужно будет написать) кажется ужасным. Повсюду ложные срабатывания, а как насчет людей, которые естественным образом нажимают каждые 15 секунд? Плохо для производительности, отправка всех запросов через джейлы fail2ban. А пользователи, которые хотят меньше походить на ботов, могут маскировать нечеловечески точные схемы синхронизации. wget --случайное-ожидание доступен, например, в инструменте командной строки.

Итак, ваши поиски инструмента продолжаются. Вам нужно будет сделать этот выбор, мы не даем рекомендаций по сбою сервера. Возможно, подойдет централизованная система ведения журналов для анализа и хранения событий. Подумайте о запросах, на которые ему может понадобиться ответить, например, «вывести список сообщений, содержащих некоторый IP-адрес, во всей нашей инфраструктуре». Достаточно причудливые инструменты ведения журнала называют себя системой управления информацией и событиями безопасности (SIEM). Даже более причудливые с автоматизированными рабочими процессами стали называть себя оркестрацией безопасности, автоматизацией и реагированием (SOAR). Однако это может быть слишком много, и, возможно, вы просто выполняете поиск файлов журнала на специальной основе, когда боты кажутся плохими.


Список разрешенных IP-адресов, состоящий из одной цифры, кажется маленьким. Вы уже нашли один сервис (CloudFlare), который сам по себе превосходит этот.Практические списки разрешений не станут меньше из-за постоянной фрагментации пространства IPv4 и добавления служб и приложений.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.