Score:0

การตรวจจับบอทโดย fail2ban

ธง cn

ฉันต้องการทราบว่าเป็นไปได้หรือไม่ที่จะใช้ใน fail2ban กฎ / สคริปต์บางอย่างที่ตรวจจับบอท ไม่ใช่แค่โดย maxretry ในจำนวนที่กำหนดในไม่กี่วินาที แต่ผ่านการระบุรูปแบบบางอย่างสำหรับทุก IP: ตัวอย่างเช่น สมมติว่า IP เข้าถึงหน้าเว็บทุกๆ 10 ถึง 15 วินาที แต่อีก IP หนึ่งเข้าถึงหน้าเว็บทุกๆ 30-45 วินาที

ฉันมีปัญหากับผู้ใช้ที่ใช้สคริปต์ pyautogui และฉันตรวจไม่พบ IP ที่อยู่เบื้องหลังบอทเพราะทุกคนมีรูปแบบที่แตกต่างกัน

นอกจากนี้ ฉันใช้ Sucuri ซึ่งมีการป้องกัน 0% ในกรณีการใช้งานนี้ ฉันไม่สามารถเปลี่ยนไปใช้บริการไฟร์วอลล์อื่นได้เนื่องจากบริการนี้มีเพียง 6 IP (เช่น CloudFlare มีมากกว่า 20 รายการ) และฉันมีกฎไฟร์วอลล์เพียง 10 กฎ รวมถึง IP สูงสุด เพื่ออนุญาตพิเศษในผู้ให้บริการเซิร์ฟเวอร์ของฉัน (ฉันป้องกันตัวเองด้วยการโจมตีผ่าน IP ไม่ใช่แค่โดย DNS)

เป็นเครื่องมืออื่นที่สามารถทำได้? ขอขอบคุณล่วงหน้าสำหรับความช่วยเหลือและข้อเสนอแนะ!

ขอแสดงความนับถือ!

djdomi avatar
za flag
ตั้งเกณฑ์การค้นหาประมาณ 3 ชั่วโมงต่อ 5 ล้มเหลว ip โดนแบนแน่นอน
Score:0
ธง cn

Fail2ban นั้นเก่งในการตรวจจับรูปแบบที่ไม่ดีที่ทราบซึ่งเกิดขึ้นซ้ำๆ ความล้มเหลวในการตรวจสอบสิทธิ์ ssh หลายรายการตรงกับ regex และถูกแบน

Fail2ban นั้นไม่ดีในการตรวจจับรูปแบบที่ไม่รู้จัก และไม่มีกลไกที่ชัดเจนสำหรับการเรียกใช้ตามเวลาเท่านั้น การตั้งค่าสถานะทุกอย่างว่าล้มเหลวและจัดเรียงเป็นการกระทำ (ที่คุณจะต้องเขียน) นั้นดูน่ากลัว ข้อดีผิดๆ เต็มไปหมด แล้วคนที่มักจะคลิกทุกๆ 15 วินาทีโดยธรรมชาติล่ะ ประสิทธิภาพไม่ดี ส่งคำขอทั้งหมดผ่านคุกที่ไม่ผ่าน 2 แบน และผู้ใช้ที่ต้องการให้ดูเหมือนบอทน้อยลงสามารถปกปิดรูปแบบการกำหนดเวลาที่แม่นยำอย่างไร้มนุษยธรรม wget -- สุ่มรอ มีอยู่ในเครื่องมือบรรทัดคำสั่ง ตัวอย่างเช่น

ดังนั้นการค้นหาเครื่องมือของคุณจึงดำเนินต่อไป คุณจะต้องทำการเลือกนี้ เราไม่แนะนำเกี่ยวกับความผิดพลาดของเซิร์ฟเวอร์ ระบบการบันทึกแบบรวมศูนย์อาจเหมาะสมในการแยกวิเคราะห์และจัดเก็บเหตุการณ์ ลองนึกถึงคำถามที่อาจต้องตอบ เช่น "แสดงรายการข้อความที่มี IP บางส่วนในโครงสร้างพื้นฐานทั้งหมดของเรา" เครื่องมือบันทึกแฟนซีเรียกตัวเองว่าการจัดการข้อมูลความปลอดภัยและเหตุการณ์ (SIEM) แม้แต่ผู้ที่คลั่งไคล้เวิร์กโฟลว์การทำงานอัตโนมัติก็เริ่มเรียกตัวเองว่า security orchestration, automation and response (SOAR) สิ่งเหล่านี้อาจมากเกินไป และบางทีคุณอาจเพียงแค่ใช้ไฟล์บันทึก grep แบบเฉพาะกิจเมื่อบอทดูเหมือนจะไม่ดี


รายการอนุญาต IP ขนาดหลักเดียวดูเหมือนเล็ก คุณพบบริการหนึ่งแล้ว (CloudFlare) ที่เกินกว่านั้นโดยตัวมันเองรายการอนุญาตที่ใช้งานได้จริงจะไม่เล็กลง ด้วยพื้นที่ IPv4 ที่กระจัดกระจาย และเพิ่มบริการและแอปพลิเคชัน

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา