Bonjour à tous,
J'ai de plus en plus (chez moi ou chez des clients) d'aspiration de contenu et/ou /d'attaque DDoS un peu pauvre (difficile à dire) et c'est difficile à contrer parce que ça vient de pool d'IP qui change quasi à chaque requête :/ * X.Y.202.142 * X.Y.65.224 * X.Y.96.202 * Z.A.202.138 * Z.A.65.196 * Z.A.96.206
Bien sûr ce sont des IP qui provient de Singapour, de Russie... du trafic illégitime au vu des requêtes / du nombres...
Et ça génère de gros ralentissements/fait monter le load bien fort et les requêtes légitimes n'ont plus de place...
Pour l'instant je monitore et je bloque des subnet entier (exemple X.Y.0.0/24)
Vous vous doutez bien que j'ai pas vraiment envie d'aller vers des trucs à la cloudflare... mais existe-t-il un équivalent "self hosted" et libre ?
L'idée de bloquer le trafic par pays ici n'est pas envisageable en plus d'être extrêmement peu fiable... *Une idée serait de faire un programme qui fait ce que je fais. À savoir consulter le server-status et émettre des hypothèses de trafic illégitime + bloquer celui-ci. Mais ça existe peut-être déjà ?*
Note : j'ai pas la main sur les connexions réseaux...ce sont des VPS et/ou des Proxmox avec des LXC qui ce fond attaquer...
David
CrowdSec ?
— Kevin Labécot
Le 25 juin 2024 à 18:27, David M via FRsAG frsag@frsag.org a écrit :
Bonjour à tous,
J'ai de plus en plus (chez moi ou chez des clients) d'aspiration de contenu et/ou /d'attaque DDoS un peu pauvre (difficile à dire) et c'est difficile à contrer parce que ça vient de pool d'IP qui change quasi à chaque requête :/
- X.Y.202.142
- X.Y.65.224
- X.Y.96.202
- Z.A.202.138
- Z.A.65.196
- Z.A.96.206
Bien sûr ce sont des IP qui provient de Singapour, de Russie... du trafic illégitime au vu des requêtes / du nombres...
Et ça génère de gros ralentissements/fait monter le load bien fort et les requêtes légitimes n'ont plus de place...
Pour l'instant je monitore et je bloque des subnet entier (exemple X.Y.0.0/24)
Vous vous doutez bien que j'ai pas vraiment envie d'aller vers des trucs à la cloudflare... mais existe-t-il un équivalent "self hosted" et libre ?
L'idée de bloquer le trafic par pays ici n'est pas envisageable en plus d'être extrêmement peu fiable... Une idée serait de faire un programme qui fait ce que je fais. À savoir consulter le server-status et émettre des hypothèses de trafic illégitime + bloquer celui-ci. Mais ça existe peut-être déjà ?
Note : j'ai pas la main sur les connexions réseaux...ce sont des VPS et/ou des Proxmox avec des LXC qui ce fond attaquer... David
-- https://retzo.net/ Tél port : 0663691604 Tél fix : 0972199940 Lundi|Mardi|Jeudi 9h30-16h ou Mercredi|Vendredi 9h30-12h
Liste de diffusion du %(real_name)s http://www.frsag.org/
Load-balancer pour force-router les clients venant d’IP exotiques sur un autre VPS/LXC qui fonctionne comme le "master" mais sera sacrifié en perfs. Et les clients en FR/EU/autres sont sur le bon VPS qui marche alors normalement.
David
Le 25 juin 2024 à 19:20, Kevin Labécot kevin@labecot.fr a écrit :
CrowdSec ?
— Kevin Labécot
Le 25 juin 2024 à 18:27, David M via FRsAG frsag@frsag.org a écrit :
Bonjour à tous,
J'ai de plus en plus (chez moi ou chez des clients) d'aspiration de contenu et/ou /d'attaque DDoS un peu pauvre (difficile à dire) et c'est difficile à contrer parce que ça vient de pool d'IP qui change quasi à chaque requête :/
- X.Y.202.142
- X.Y.65.224
- X.Y.96.202
- Z.A.202.138
- Z.A.65.196
- Z.A.96.206
Bien sûr ce sont des IP qui provient de Singapour, de Russie... du trafic illégitime au vu des requêtes / du nombres...
Et ça génère de gros ralentissements/fait monter le load bien fort et les requêtes légitimes n'ont plus de place...
Pour l'instant je monitore et je bloque des subnet entier (exemple X.Y.0.0/24)
Vous vous doutez bien que j'ai pas vraiment envie d'aller vers des trucs à la cloudflare... mais existe-t-il un équivalent "self hosted" et libre ?
L'idée de bloquer le trafic par pays ici n'est pas envisageable en plus d'être extrêmement peu fiable... Une idée serait de faire un programme qui fait ce que je fais. À savoir consulter le server-status et émettre des hypothèses de trafic illégitime + bloquer celui-ci. Mais ça existe peut-être déjà ?
Note : j'ai pas la main sur les connexions réseaux...ce sont des VPS et/ou des Proxmox avec des LXC qui ce fond attaquer... David
-- https://retzo.net/ https://retzo.net/ Tél port : 0663691604 Tél fix : 0972199940 Lundi|Mardi|Jeudi 9h30-16h ou Mercredi|Vendredi 9h30-12h
Liste de diffusion du %(real_name)s http://www.frsag.org/
Liste de diffusion du %(real_name)s http://www.frsag.org/
Hello, fail2ban et mod_security, surtout en conjonction. Par contre CDN et self-hosted, c'est un peu antinomique. Tu peux ajouter des listes publiques de réputation IP, par exemple Emerging Threats IP lists (sur abonnement, iirc). Tu peux aussi remonter le blocage aux AS entiers, si tu n'as pas de client légitime dessus (tu as besoin d'être accédé par un hébergeur "bulletproof" russe ?). Fabien
On Tue, Jun 25, 2024, 18:28 David M via FRsAG frsag@frsag.org wrote:
Bonjour à tous,
J'ai de plus en plus (chez moi ou chez des clients) d'aspiration de contenu et/ou /d'attaque DDoS un peu pauvre (difficile à dire) et c'est difficile à contrer parce que ça vient de pool d'IP qui change quasi à chaque requête :/
- X.Y.202.142
- X.Y.65.224
- X.Y.96.202
- Z.A.202.138
- Z.A.65.196
- Z.A.96.206
Bien sûr ce sont des IP qui provient de Singapour, de Russie... du trafic illégitime au vu des requêtes / du nombres...
Et ça génère de gros ralentissements/fait monter le load bien fort et les requêtes légitimes n'ont plus de place...
Pour l'instant je monitore et je bloque des subnet entier (exemple X.Y.0.0/24)
Vous vous doutez bien que j'ai pas vraiment envie d'aller vers des trucs à la cloudflare... mais existe-t-il un équivalent "self hosted" et libre ?
L'idée de bloquer le trafic par pays ici n'est pas envisageable en plus d'être extrêmement peu fiable... *Une idée serait de faire un programme qui fait ce que je fais. À savoir consulter le server-status et émettre des hypothèses de trafic illégitime + bloquer celui-ci. Mais ça existe peut-être déjà ?*
Note : j'ai pas la main sur les connexions réseaux...ce sont des VPS et/ou des Proxmox avec des LXC qui ce fond attaquer...
David
-- https://retzo.net/ Tél port : 0663691604 Tél fix : 0972199940 Lundi|Mardi|Jeudi 9h30-16h ou Mercredi|Vendredi 9h30-12h
Liste de diffusion du %(real_name)s http://www.frsag.org/
Le Tue, Jun 25, 2024 at 06:27:44PM +0200, David M via FRsAG [frsag@frsag.org] a écrit: (...)
L'idée de bloquer le trafic par pays ici n'est pas envisageable en plus d'être extrêmement peu fiable... *Une idée serait de faire un programme qui fait ce que je fais. À savoir consulter le server-status et émettre des hypothèses de trafic illégitime + bloquer celui-ci. Mais ça existe peut-être déjà ?*
Si tu sais identifier selon un ou plusieurs patterns des comportements "illégitimes" ( par exemple des suivis de liens foireux, user-agent ), tu peux alimenter des règles pour fail2ban ou crowdsec qui feront automatiquement ce que tu fais manuellement. ( et ça peut-etre en complément de composant comme mod_security pour apache, déjà cité )
Bonjour,
Je n'ai pas trouvé mieux : https://vddos.voduy.com/
J'ai custom le système pour activer dynamiquement la mitigation, mais possible de la laisser active constamment et même pas obligé d'utiliser Cloudflare.
Amicalement, Élodie
Le 25/06/2024 à 18:27, David M via FRsAG a écrit :
Bonjour à tous,
J'ai de plus en plus (chez moi ou chez des clients) d'aspiration de contenu et/ou /d'attaque DDoS un peu pauvre (difficile à dire) et c'est difficile à contrer parce que ça vient de pool d'IP qui change quasi à chaque requête :/
- X.Y.202.142
- X.Y.65.224
- X.Y.96.202
- Z.A.202.138
- Z.A.65.196
- Z.A.96.206
Bien sûr ce sont des IP qui provient de Singapour, de Russie... du trafic illégitime au vu des requêtes / du nombres...
Et ça génère de gros ralentissements/fait monter le load bien fort et les requêtes légitimes n'ont plus de place...
Pour l'instant je monitore et je bloque des subnet entier (exemple X.Y.0.0/24)
Vous vous doutez bien que j'ai pas vraiment envie d'aller vers des trucs à la cloudflare... mais existe-t-il un équivalent "self hosted" et libre ?
L'idée de bloquer le trafic par pays ici n'est pas envisageable en plus d'être extrêmement peu fiable... *Une idée serait de faire un programme qui fait ce que je fais. À savoir consulter le server-status et émettre des hypothèses de trafic illégitime + bloquer celui-ci. Mais ça existe peut-être déjà ?*
Note : j'ai pas la main sur les connexions réseaux...ce sont des VPS et/ou des Proxmox avec des LXC qui ce fond attaquer...
David
-- https://retzo.net/ Tél port : 0663691604 Tél fix : 0972199940 Lundi|Mardi|Jeudi 9h30-16h ou Mercredi|Vendredi 9h30-12h
Liste de diffusion du %(real_name)s http://www.frsag.org/
-
David M -
David Ponzone -
Dominique Rousseau -
Fabien Schwebel -
Kevin Labécot -
Élodie BOSSIER