今天是个好日子!
我正在寻找一种方法来阻止来自列入黑名单的IP和代理(主要是匿名)到我的服务器的请求。 虽然很明显如何使用Apacheconfiguration来完成,但主要问题是在哪里可以find定期更新的IP列表?
有没有这样做的“最佳做法”?
更深入的原因是:我的网站从主要位于美国的许多不同IP获得巨大的传入stream量。 几乎每个请求都相互推</s>,这就是为什么我不能阻止特定的IP,也不能通过子网划分IP的范围。 虽然这不是一个真正的DDoS攻击我的专用服务器几乎脱机:/
我认为我需要像Fail2Ban和DenyHosts,但不仅基于密码失败,而且基于所有传入的通信。
在你的服务器上安装MoBlock有一个很好的方法。 它是为Ubuntu写的,但方向可以适应任何分布。 这是一个工具,它可以让你加载任意的阻止列表并将它们转换成防火墙规则,所以你的服务器可以在Apache不得不为之前快速有效地丢弃stream量。
至于拦截列表本身,还有BISS IP Blocklists ; 他们主要面向阻止企图监控点对点stream量的实体,他们做得很好。 然而,他们有一个“Tor /代理”列表,其目的是阻止开放的代理和Tor路由器,但我不能作出任何特殊的要求,其准确性或有效性。
我还发现了一个名为DDoS-Deflate的程序,它自动添加防火墙规则来阻止高连接源,但是我再也没有用过它,所以我不能告诉你它的工作效果如何。
最后,显然iptables有一个hitcount命令,可自动限制传入连接的速率:
sudo iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH sudo iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 8 --rttl --name SSH -j DROP 这会将传入的SSH连接限制为每60秒8个,并且已经内置。
有一些声称列出“滥用”IP的网站。 我喜欢Project Honeypot项目 ,因为它是免费的(如果你参与了这个networking),并且有合理的开放标准让你能够列入名单。 否则,谷歌search“开放代理黑名单”似乎提供了一个漫长的一套结果; 我不能给出任何具体的build议,但是最好是根据自己的需要分析选项。
尝试ModSecurity: http : //www.modsecurity.org/ ,结合SSHBlack: http ://www.sshblack.com/
我使用http://feeds.dshield.org/block.txt
有时如果我想要更积极的话,我可以使用http://www.wizcrafts.net/blocklists.html上的列表