DNS DDoS vs fail2ban
by admin on Mai.20, 2010, under Technik
Nachdem es immer mehr Hosts wurden, welche mit gefakten IP-Adressen meinen DNS Server genervt haben, bin ich irgendwie nicht mehr mit dem manuellen blocken per iptables nachgekommen. Ich habe deshalb auf dem DNS Server fail2ban installiert, welches das Logfile des Nameservers überwacht, und bei einer Überschreitung (der vorher eingestellten) Versuche per iptables automatisch für eine gewisse Zeit blockt, und mir eine eMail mit der IP und dem Whois-Query schickt:
fail2ban kann aber noch mehr: Es können für alle möglichen Dienste die Logfiles geprüft werden, um z.B. auch fehlgeschlagene SSH oder FTP Logins zu erkennen, und auch hier zu blocken.
Zum Nachlesen gibts hier was: http://www.debian-administration.org/article/Blocking_a_DNS_DDOS_using_the_fail2ban_package
Mai 20th, 2010 on 13:02
fail2ban sollte man aber immer installiert haben
Ich würde allerdings die Mail Benachrichtigung abschalten, das würde mich nur nerven.
Mai 20th, 2010 on 13:54
Jo, hab ich nur zu “debug-zwecken” mal aktiviert, aber ich werde von Mails überschüttet
Das fliegt definitiv wieder raus.
Mai 20th, 2010 on 14:22
Allerdings sind bei mir auch nicht so viele Angriffe…
Mai 17th, 2011 on 22:23
Wenn man die Mails an https://www.blocklist.de/de/ sendet, werden die Angreifer automatisch dem Provider gemeldet und man kann sich einige Statistiken anschauen ohne von den Mails überflutet zu werden
Mfg Martin
Mai 18th, 2011 on 20:17
Merci für den Tip, werd ich demnächst umsetzen!
Grüsse