En fait, si. Je suis convaincu que plus de 60% des attaques ne viennent jamais des même IP. Cette IP qui attaque maintenant, ne l'est plus dans 1h (voir avant, dès qu'elle a été détecté / bannis). Dans notre automatisation, nous avons justement prévu le cas des attaques d'IP dynamique, pour ne pas pénaliser la personne qui va hériter d'une IP qui a été bannis.
Rémy -----Original Message----- From: [email protected] <[email protected]> On Behalf Of Daniel via frnog Sent: mercredi, 15 avril 2020 09:01 To: [email protected] Subject: Re: [FRnOG] [TECH] Attaque SIP et SIPS Le fichier n'a pas besoin d'être à jour à la minute prêt d'autant que l'on va retrouver en grande partie les mêmes adresses. Une mise à jour hebdomadaire voire bi-mensuelle me parait suffisante. Le 15/04/2020 à 08:52, Duchet Rémy a écrit : > Pour l'instant, je ne partage rien, car la liste évolue plusieurs fois par > minute. > Je ne conserve pas les IP, sauf ceux qui ont une tendance à "insister". > Comme nous avons des sondes sur plein de services différents, la "liste" > évolue sans arrêt. > Du coup, je ne me vois pas faire un fichier (je l'aurais fait avec Git) et > des milliers de commits par jour. > Donc, je veux bien les annoncer via BGP, ça me semble plus simple et > utilisable comme cela. > > Rémy > > -----Original Message----- > From: [email protected] <[email protected]> On Behalf Of > Daniel via frnog > Sent: lundi, 13 avril 2020 12:37 > To: [email protected] > Subject: Re: [FRnOG] [TECH] Attaque SIP et SIPS > > Voici le mien > > https://tdrive.tootai.net/s/agWxa4wXXTGR4Py > > Le 12/04/2020 à 22:10, Richard Klein a écrit : >> Voici mon fichier depuis un synology qui est une simple liste d'IPs >> (ban >> permanent): >> https://drive.google.com/file/d/1FYgmjMX0BxCOD0Ri5YEW-qDRRfUKNTlo/vie >> w ?usp=sharing Il faudrait ajouter une colonne avec la date du >> dernier BAN et après un "timeout" de 7 jours suppression de la liste >> . >> Une troisieme colonne pour le nombre de signalement sur 7 jours . >> Libre a chacun de définir si il y a eu un seul signalement de prendre >> en compte cette IP par rapport a une IP qui a 200 signalements . >> Une bonne mutualisation permet d'etre réactif et pro actif plutot que >> d'attendre son tour pour se faire scanner /attaquer ... >> >> Richard >> >> >> Le dim. 12 avr. 2020 à 21:58, Hugues Voiturier >> <[email protected]> a écrit : >> >>>> Tu veux t'appairer ? en ce moment j'en ai environ 38,000. >>> J’imagine qu’avec une telle quantité, tu n’as aucun délai de >>> suppression de ta liste. >>> >>> C’est assez dommageable pour nous autres opérateurs, par exemple, >>> j’ai régulièrement des clients qui se font trouer leur >>> VM/Firewall/Routeur, et j’aimerais bien éviter un bannissement à vie >>> d’une IP pour un “abuse” qui dure rarement plus d’une semaine. >>> Alors, certes, il y’a peu de chances que mes clients parlent aux >>> tiens, néanmoins, si tout le monde commence à se partager ses >>> blacklists, ça risque de devenir un vrai problème. >>> >>> >>> >>> Hugues >>> AS57199 - AS50628 >>> >>>> On 12 Apr 2020, at 21:52, Michel Py >>>> <[email protected]> >>> wrote: >>>> Je passe cà dans [TECH] >>>> >>>>> Duchet Rémy >>>>> On a 9500 ip en ipv4 et 650 en ipv6. Toutes bannies, et annoncé en >>>>> bgp >>>> Tu veux t'appairer ? en ce moment j'en ai environ 38,000. >>>> >>>> >>>>> Richard Klein a écrit : >>>>> J’avoue qu’avoir les fail2ban de tout le monde qui alimentent un >>>>> exabgp qui nous feed les IP à null-router, ça serait sympa. >>>> Cà fait longtemps que j'ai fait le mien, çà serait encore mieux si >>> j'avais plus de sources. >>>> Michel. >>>> >>>> >>>> --------------------------- >>>> Liste de diffusion du FRnOG >>>> http://www.frnog.org/ >>> --------------------------- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >>> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > -- > Daniel Huhardeaux > [email protected] sip:[email protected] > [email protected] tootaiNET > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ -- Daniel Huhardeaux [email protected] sip:[email protected] [email protected] tootaiNET --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
