• This forum has a zero tolerance policy regarding spam. If you register here to publish advertising, your user account will be deleted without further questions.

Ab einer bestimmten Anzahl von HTTP Requests IP sperren

Enrique83

New Member
Hallo,

ich hatte in letzter Zeit auf meinem Server immer wieder Probleme mit HTTP-Flood angriffen, und würde von daher gerne folgendes machen:

wenn die Anzahl der HTTP Requests von einer bestimmten IP höher als 30 Requests in der Sekunde ist, soll die IP gesperrt werden (beispielsweise mit iptables).

Gibt es dafür schon ein Tool/Script/o.Ä.?

Danke!

Gruss
Enrique
 
Welches Betriebssystem?
Welche Firewall?

Es gibt für fast alles eine Lösung. Unter FreeBSD gibt es eine hübsche Anweisung die das regelt.

Ansonsten kannst du das auch über deinen Webserver regeln, bspw. mod_evasive als Stichwort bei Google / Bing / ... verwenden.

Die IPTables-Regeln hab ich nicht im Kopf, findest du aber über die Suche sehr schnell.
 
Welches Betriebssystem?
Welche Firewall?

Es handelt sich um ein Debian Lenny System, hinter 2 Firewalls (Barracuda & pfSense). Die Barracuda ist eine kommerzielle Firewall und totaler Schrott, die pfSense ist ganz gut, hat aber leider auch kein spezielles Feature für HTTP Floods, läuft allerdings als FreeBSD System - wie heisst denn diese Anweisung von der du da sprichst?

Mit mod_evasive hatte ich nur Ärger, mir wäre ein externes Tool oder Script am liebsten, any idea?

Gruss
 
Mit mod_evasive hatte ich nur Ärger
Evlt. könnten wir dennoch daran arbeiten. Denn genau das was Du möchtest macht dieses Tool.

PS: Welche IP kommt denn am Server an? Evtl. die der Firewall?
Das würde erklären warum mod_evasive nicht funktioniert.

huschi.
 
Welche IP kommt denn am Server an? Evtl. die der Firewall?
Das würde erklären warum mod_evasive nicht funktioniert.

huschi.

Nein - das Monitoring erfolgt direkt auf der Firewall, deshalb würde ich das ganze gerne extern machen (auf den Blades liegt der Apache, aber die Angreifer sollen direkt auf der Firewall gesperrt werden).
 
Code:
table <bruteforce> persist
block quick from <bruteforce>
pass in on $if proto tcp from any to any port $tcp_pass flags S/SA keep state (max-src-conn 100, max-src-conn-rate 15/5, overload <bruteforce> flush global)

Kann ich mir fast nicht vorstellen, dass pfSense das nicht unterstützt. Expiretable ist in pfSense auch integriert.

Aus der Feature-Liste:
Limit new connections per second
 
Back
Top