> Pierre Emeriaud a écrit : > J'ai constaté une grosse augmentation du trafic malicieux sur mes honeypots > depuis > quelques jours. Je blackliste environ 2 à 3x plus d'ip par jour qu'avant.
Combien, et est-ce que tu remontes ta blacklist vers quelqu'un qui consolide, comme blocklist.de ou autres ? >> ay pierre a écrit : >> pourriez vous m'expliquer le principe de fail2ban? > neo future a écrit : > tu fais des regles pour bannir automatiquement une ip qui fait un truc mal > * bruteforsce ssh - drop > * scan de port abusif -> drop > * whatever you want to refuse -> drop Oui. En plus de çà, il y a 2 niveaux de consolidation au-dessus de çà : - Consolidation le fail2ban de multiples personnes pour en faire une blacklist, la plus importante en taille étant http://www.blocklist.de (77600 IP blockées dans http://lists.blocklist.de/lists/all.txt). D'autres listes consolident d'autres attaques. - Consolidation de multiples blacklists, http://arneill-py.sacramento.ca.us/cbbc/ (90900 préfixes bloqués dans le feed BGP). L'idée derrière la consolidation de fail2ban et autres sources : blacklister les préfixes qui t'attaquent toi c'est bien, blacklister les préfixes qui attaquent tes petits camarades c'est mieux. Pourquoi : un grand nombre de ces botnets vont changer de cible, donc quant au lieu d'attaquer quelqu'un d'autre ça devient ton tour, ils sont déjà bloqués. C'est difficile, et imparfait. Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/