Hello, fail2ban et mod_security, surtout en conjonction. Par contre CDN et self-hosted, c'est un peu antinomique. Tu peux ajouter des listes publiques de réputation IP, par exemple Emerging Threats IP lists (sur abonnement, iirc).
Tu peux aussi remonter le blocage aux AS entiers, si tu n'as pas de client légitime dessus (tu as besoin d'être accédé par un hébergeur "bulletproof" russe ?).
Fabien


On Tue, Jun 25, 2024, 18:28 David M via FRsAG <frsag@frsag.org> wrote:
Bonjour à tous,

J'ai de plus en plus (chez moi ou chez des clients) d'aspiration de contenu et/ou /d'attaque DDoS un peu pauvre (difficile à dire) et c'est difficile à contrer parce que ça vient de pool d'IP  qui change quasi à chaque requête :/
* X.Y.202.142
* X.Y.65.224
* X.Y.96.202
* Z.A.202.138
* Z.A.65.196
* Z.A.96.206

Bien sûr ce sont des IP qui provient de Singapour, de Russie...  du trafic illégitime au vu des requêtes / du nombres...

Et ça génère de gros ralentissements/fait monter le load bien fort et les requêtes légitimes n'ont plus de place...

Pour l'instant je monitore et je bloque des subnet entier (exemple X.Y.0.0/24)

Vous vous doutez bien que j'ai pas vraiment envie d'aller vers des trucs à la cloudflare... mais existe-t-il un équivalent "self hosted" et libre ?

L'idée de bloquer le trafic par pays ici n'est pas envisageable en plus d'être extrêmement peu fiable...
Une idée serait de faire un programme qui fait ce que je fais. À savoir consulter le server-status et émettre des hypothèses de trafic illégitime + bloquer celui-ci. Mais ça existe peut-être déjà ?

Note : j'ai pas la main sur les connexions réseaux...ce sont des VPS et/ou des Proxmox avec des LXC qui ce fond attaquer...

David

-- 
https://retzo.net/
Tél port : 0663691604
Tél fix : 0972199940 Lundi|Mardi|Jeudi 9h30-16h ou Mercredi|Vendredi 9h30-12h

_______________________________________________
Liste de diffusion du %(real_name)s
http://www.frsag.org/