Protection DOS avec Fail2Ban.

      5 commentaires sur Protection DOS avec Fail2Ban.

Par défaut les attaques DOS ne sont pas prises en charge par Fail2Ban.
Il faut bloquer les requêtes GET répétées et inhabituel.
Nous allons donc bloquer si 300 requêtes sont effectuées en moins de 2 minutes.

Il faut modifier le fichier jail.conf pour définir une règle:

[quote]# Protect against DOS attack

# 50 requests in 10 sec Ban for 10 minutes

[http-get-dos]

enabled = true

port = http,https

filter = http-get-dos

logpath = /var/log/apache2/access.log
# Nombres de requêtes
maxretry = 300
# Sur l’intervalle de (secondes).
findtime = 120

action = iptables[name=HTTP, port=http, protocol=tcp]

mail-whois-lines[name=%(__name__)s, dest=%(destemail)s, logpath=%(logpath)s]

bantime = 60000
[/quote]

Le filtre http-get-dos n’existe pas encore, nous devons donc créer le fichier /etc/fail2ban/filter.d/http-get-dos.conf contenant:
[quote]
# Fail2Ban configuration file

#

# Author: http://www.go2linux.org

#

[Definition]

# Option: failregex

# Note: This regex will match any GET entry in your logs, so basically all valid and not $

# You should set up in the jail.conf file, the maxretry and findtime carefully in order t$

failregex = ^.* »GET

# Option: ignoreregex

# Notes.: regex to ignore. If this regex matches, the line is ignored.

# Values: TEXT

#

ignoreregex =
[/quote]

Il suffit ensuite de redémarrer Fail2Ban :
[quote]
/etc/init.d/fail2ban restart
[/quote]

5 thoughts on “Protection DOS avec Fail2Ban.

  1. Cyril

    Hello, merci pour ce tuto,
    je vais m’en servir dans un prochain article.

    Par contre sais-tu comment faire pour avoir des logs des IP Bannies (voire Debannies) à la suite de ce filtrage ?

    Merci

    Reply

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *