Всё верно. В скрипте просто проверку отключить и сервер опять напряжётся ;) Я ж не настаиваю.
Кстати, подобную аналитику удобно собирать из netflow статистики. Учитывая, что у Вас стоит циска, можно на ней включить сбор флоусов и отдать, на пример в nfcapd. Из плюсов: не придётся поднимать БД, удобная и гибкая статистика, ну и язык запросов похожий на фильтр tcpdump(если это плюс, конечно).
А как можно fail2ban в аналитике использовать? Я так понял, целью было «пощупать», что происходит(?), сложив в базу логи, а fail2ban сразу реагирует на угрозу.
Нет смысла хранить записи в БД только для того, что бы их потом удалить не проанализировав. Есть смысл игнорировать их в скрипте, который складывает данные в БД. За одно и AUTOVACUUM расслабится.
Что мёртвому припарка. Проблема в том, что маршрутизатор закидывают огромным количеством пакетов и он просто не справляется с их количеством. О чём производитель говорит в спецификации оборудования, на которую я Вам привёл ссылку. Да, Ваше правило спасло бы, если бы не тот факт, что атака производится на мощности оборудования, которые Вы не способны защитить изнутри и средствами самого маршрутизатора. Вообще никак!
Защититься возможно, если Вы поставите перед ним какой-нибудь IDS и порежете такого рода пакеты. И, в свою очередь, у этого IDS тоже будет ограничение по количеству обрабатываемых пакетов.
Ещё интересно, как защититься от такого количества RST, если злоумышленник решит рандомно менять ip.src в каждом пакете?
Безусловно, но я не о том.
Производительность конкретного роутера:
https://routerboard.com/RB951G-2HnD#perf
При размере кадра 64 байта(а именно столько и формируется), максимально, маршрутизатор прожует 269600 пакетов в секунду. Достаточно 18 mbps, чтобы завалить конкретно этот маршрутизатор пакетами. Вы же предлагаете ещё и обработать каждый из этих пакетов. Я и говорю, что не поможет. Это просто ограничения конкретного железа(?).
Предположим, у меня куча событий произошла в один день. Замотался. Куча заказов от вашего магазина, плюс личные звонки и вообще выдался тяжёлый день… Звонят из магазина, говорят клиент не доволен, который был в 13:00, а там в записи телефона только вы. Как бы посмотреть, кому я звонил в этот период? Не номер телефона, хотя бы номер заказа. Спрашивать у вас не стану, вы мне звоните уже с обвинениями.
И ещё вопрос. Клиент может связаться с курьером?
Есть кейс, который напряг бы меня, как курьера, при работе с такой системой. Я тоже хочу знать кому и когда я звонил(номер телефона как некий мнемонический "якорь" на память). Тут получается, что я всем клиентам звоню на номер пула и только его в истории телефона и вижу.
Не поможет. Вы пытаетесь дропнуть пакет, который не имеет смысла дропать в принципе. Соединения, как такового, нет, но прилетает пакет о его закрытии. Вы его ещё и дропаете, добавляя нагрузку на CPU. Причём, могу уточнить, что пакеты можно слать на ЛЮБОЙ порт, даже с отсутствующими сервисами. Т.е. на 8888, если он у вас не обслуживается. Тупо, лупите роутер пакетами. Это не уязвимость конкретного роутера, — тот же эксплоит работает на других софтроутерах.
Я не веб-программист, так что да, ошибся. Смысл фразы был: "грядёт в массы". Но, если вам очень хочется поёрничать, можете ещё до чего-нибудь докопаться, не обижусь.
https://www.ietf.org/proceedings/94/slides/slides-94-tls-8.pdf
Появилась идея шифровать SNI. Те, кто пытался не фильтровать трафик хотя бы по домену, будут вынуждены вернуться к блокировкам по IP.
Ещё и http/2.0 грядёт, который в принципе хотят сделать шифрованным.
Провайдеров загоняют в угол ещё и штрафами: "Вводится новая статья 13.34 КоАП. Согласно ей, штраф на должностных лиц определен в размере от 3 тысяч до 5 тысяч. рублей, на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, — от 10 тысяч до 30 тысяч рублей; на юридических лиц — от 50 тысяч до 100 тысяч рублей." (с) rg.ru/2017/02/10/gosduma-vvela-shtrafy-dlia-provajderov-za-otkaz-blokirovki-sajtov.html
Блокировать будут самым надёжным способом, — по ip. Ну, кроме самых жирных операторов, готовых разориться на, сначала штрафы, а потом крутой DPI с огромной пропускной способностью. Причём, количество штрафов, на сколько знаю, тоже ограничено. Потом лицензию отнимут.
Промахнулся. Ответил на комментарий ainu.
Нет, конечно. Разве я это сказал? Это проблема отношений, в первую очередь.
Провайдерам, к слову сказать, тоже не улыбается блокировать хост из-за https или другого шифрования. Это всё ведёт к бестолковым претензиям к провайдеру, который сам ничего поделать не может. Хотя, вру. Может запустить SSLStrip и устроить панику у думающего населения.
Потом, к примеру, потерять лицензию из-за вмешательства в трафик пользователей (MITM как-никак) или самих пользователей. В результате, в регионах останутся только очень крупные провайдеры, от которых не сбежишь(сеть-то нужна) и которые все так же продолжат блокировать целые хосты. В общем, всё плохо. Можно продолжать кидаться шапками и грезить о протоколе из-за рубежа, где нет цензуры.
У нас, кстати, цензура есть, если кто не в курсе. От этого никуда не деться(разве что, назвать по другому). Изначально вводилась под эгидой защиты детей от вредной информации, на сколько помню.
И не смотря на Ваши слова и минусы моему комментарию(правда глаз режет? Не Вам, но минусующим), будет именно так, к сожалению. Война с цензурой не в комментариях выигрывается.
https сейчас и http/2 в будущем, для провайдеров — это блокировка ip хоста вместо просмотра http/1.1 и блокировки одного URL. Поддержка сайтом http/2 и наличие записи о блокировке в реестр РКН приведёт к блокировке всего хоста даже для тех, кто продолжит ходить по http/1.1
ФЗ от 27.07.2006 года № 149-ФЗ.
Веселье.
Есть такая организация: ФАС. Она считает, что втраивание АВ в винду убивает конкуренцию. И MS с этим согласно. При установке смотрит, есть ли АВ? Если нет, то предлагает воспользоваться бесплатной альтернативой. Всё просто. И, кстати, легко догадаться, если поднапрячься, а не долбить один и тот же вопрос в комментариях.
А вообще, если подумать, они лезут анализировать сеть и запрещать в будущем(читай, контролировать). Так что идут они лесом. Это уже чисто эмоции. Мелькают мысли про «достали...» и чужой монастырь. Пусть молча пользуются тем, что люди создают, а не суют нос туда, куда их не приглашают.
Это всё, безотносительно вас, конечно же :)
Действительно. Перечитал тему, зацепиться не за что. Многие говорят про активность правительственной подсети и только. Хотя, есть и не понятная активность. К примеру: habrahabr.ru/post/191546/#comment_6655356
Вы вообще в курсе, с чего весь сыр-бор начался? Боты с ip правительства, игнорируя robots.txt, нарушают работу серверов огромным количеством запросов. Так получается, администратор вправе защищаться от DoS атаки, что собственно и происходит. Нужен правоохранительным органам доступ к информации? Они могут прислать официальный запрос на его предоставление в адрес администратора или хостера. Защищаются, формально, не от них.
Вы же понимаете, что ботов пишут грамотные люди? Не прокурор, о котором вы толкуете. Только эти люди считают возможным DoS, который, на сколько знаю, считается преступлением.
Вы в общем-то правы, сказав что это будет препятствием при работе органов, но таким же препятствием будет и шифрованный vpn… Все решаемо.
Я, собственно, к чему? Вы попробуйте вставать не только на сторону обвинения. Было бы интересно разобраться в предложенной вами ситуации.
С его помощью не получится отключить конкретный триггер, но это, за частую, и не нужно.
Кстати, подобную аналитику удобно собирать из netflow статистики. Учитывая, что у Вас стоит циска, можно на ней включить сбор флоусов и отдать, на пример в nfcapd. Из плюсов: не придётся поднимать БД, удобная и гибкая статистика, ну и язык запросов похожий на фильтр tcpdump(если это плюс, конечно).
Защититься возможно, если Вы поставите перед ним какой-нибудь IDS и порежете такого рода пакеты. И, в свою очередь, у этого IDS тоже будет ограничение по количеству обрабатываемых пакетов.
Ещё интересно, как защититься от такого количества RST, если злоумышленник решит рандомно менять ip.src в каждом пакете?
Производительность конкретного роутера:
https://routerboard.com/RB951G-2HnD#perf
При размере кадра 64 байта(а именно столько и формируется), максимально, маршрутизатор прожует 269600 пакетов в секунду. Достаточно 18 mbps, чтобы завалить конкретно этот маршрутизатор пакетами. Вы же предлагаете ещё и обработать каждый из этих пакетов. Я и говорю, что не поможет. Это просто ограничения конкретного железа(?).
И ещё вопрос. Клиент может связаться с курьером?
Есть кейс, который напряг бы меня, как курьера, при работе с такой системой. Я тоже хочу знать кому и когда я звонил(номер телефона как некий мнемонический "якорь" на память). Тут получается, что я всем клиентам звоню на номер пула и только его в истории телефона и вижу.
Я не веб-программист, так что да, ошибся. Смысл фразы был: "грядёт в массы". Но, если вам очень хочется поёрничать, можете ещё до чего-нибудь докопаться, не обижусь.
https://www.ietf.org/proceedings/94/slides/slides-94-tls-8.pdf
Появилась идея шифровать SNI. Те, кто пытался не фильтровать трафик хотя бы по домену, будут вынуждены вернуться к блокировкам по IP.
Ещё и http/2.0 грядёт, который в принципе хотят сделать шифрованным.
Провайдеров загоняют в угол ещё и штрафами: "Вводится новая статья 13.34 КоАП. Согласно ей, штраф на должностных лиц определен в размере от 3 тысяч до 5 тысяч. рублей, на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, — от 10 тысяч до 30 тысяч рублей; на юридических лиц — от 50 тысяч до 100 тысяч рублей." (с) rg.ru/2017/02/10/gosduma-vvela-shtrafy-dlia-provajderov-za-otkaz-blokirovki-sajtov.html
Блокировать будут самым надёжным способом, — по ip. Ну, кроме самых жирных операторов, готовых разориться на, сначала штрафы, а потом крутой DPI с огромной пропускной способностью. Причём, количество штрафов, на сколько знаю, тоже ограничено. Потом лицензию отнимут.
Нет, конечно. Разве я это сказал? Это проблема отношений, в первую очередь.
Провайдерам, к слову сказать, тоже не улыбается блокировать хост из-за https или другого шифрования. Это всё ведёт к бестолковым претензиям к провайдеру, который сам ничего поделать не может. Хотя, вру. Может запустить SSLStrip и устроить панику у думающего населения.
Потом, к примеру, потерять лицензию из-за вмешательства в трафик пользователей (MITM как-никак) или самих пользователей. В результате, в регионах останутся только очень крупные провайдеры, от которых не сбежишь(сеть-то нужна) и которые все так же продолжат блокировать целые хосты. В общем, всё плохо. Можно продолжать кидаться шапками и грезить о протоколе из-за рубежа, где нет цензуры.
У нас, кстати, цензура есть, если кто не в курсе. От этого никуда не деться(разве что, назвать по другому). Изначально вводилась под эгидой защиты детей от вредной информации, на сколько помню.
ФЗ от 27.07.2006 года № 149-ФЗ.
Веселье.
Это всё, безотносительно вас, конечно же :)
Вы же понимаете, что ботов пишут грамотные люди? Не прокурор, о котором вы толкуете. Только эти люди считают возможным DoS, который, на сколько знаю, считается преступлением.
Вы в общем-то правы, сказав что это будет препятствием при работе органов, но таким же препятствием будет и шифрованный vpn… Все решаемо.
Я, собственно, к чему? Вы попробуйте вставать не только на сторону обвинения. Было бы интересно разобраться в предложенной вами ситуации.