Как правильно настроить Fail2Ban для HTTP (DDOS) защиты?

Question

[Дмитрий]

Суть проблемы - на сервер с большим количеством сайтов переодически происходит атака (умышленная, или поисковые роботы Google пока понять не смог).
При использовании SSH команды во время атаки (сервер висит почти намертво):

netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

Вижу в выводе примерно следующее:
1 54.165.102.64
1 54.169.129.166
2 93.66.16.249
3 203.162.2.92
4 179.61.8.3
5 171.98.170.157
5 213.149.12.67
6 91.98.235.122
9 121.134.16.228
9 37.17.4.47
13 0.0.0.0
20
262 185.62.188.91

Как видно последний ip 118.148.168.30 имеет 262 соединения к серверу и именно он вешает его, при ручной блокировке командой:

iptables -I INPUT -s 185.62.188.91 -j DROP

через пару минут сервер восстанавливает свою нормальную работу, пока не начнется похожая атака с другого IP (через несколько часов или день или месяц).

Для того чтобы автоматизировать процесс бана таких IP я установил утилиту fail2ban и настроил его согласно статьи в интернете, в jail.conf добавил следующее:

[apache-ddos]

enabled = true
filter = apache-ddos
action = iptables-multiport[name=ddos, port="http,https"]
sendmail-buffered[name=ddos, lines=5, dest=root]
logpath = /var/www/vhosts/domain.com/statistics/logs/access_log
/var/www/vhosts/wp.domain.com/statistics/logs/access_log
/var/log/apache*/*access.log
bantime = 43200
findtime = 600
maxretry = 60

ignoreregex = \.(jpg|jpeg|png|gif|js|css)

Естественно перезапустил fail2ban после изменений, но тем не менее почему то это не помогает с автоматической блокировкой всех таких ip (некоторые блокируются, некоторые нет). Что я настроил не так и как настроить правильно?

Answer 1

[Azazel PW]

Ограничьте кол-во подключений с одного ip адреса. Можно сделать через iptables.
www.cyberciti.biz/faq/iptables-connection-limits-howto
/sbin/iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 5 -j REJECT --reject-with tcp-reset

Comments

[Дмитрий]

--connlimit-above - количество подключений? То есть к примеру если я укажу 50, то бот/пользователь какой открыл одновременно (в разных вкладках браузера к примеру, если это человек) 50 php файлов с моего сайта (50 страниц) будет заблокирован? 50 теоретически безопасное значение? (думаю живой человек не откроет столько страниц с сайта сразу в разных в кладках)

[Azazel PW]

я даже не представляю как 30 вкладок с одного сайта сделать, уже в браузере ничего не понятно будет, а вы говорите о 50.

[Дмитрий]

А как отменить (на всякие случай) указанную вами выше команду?

[Azazel PW]

/sbin/iptables -D INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 5 -j REJECT --reject-with tcp-reset

-A add
-D del
И по правила заполнения iptables данное правило должно заменять
iptables -A INPUT --dport 80 -j ACCEPT

Вы почитайте ссылку, так будет проще. Серебряной пули не существует. Может вы через apache limit connection сделаете.

[Дмитрий]

Azazel PW: Ваш совет помог и как я вижу теперь сервер не зависает намертво (ваша команда успевает вовремя сработать и максимальное время простоя минут 5). Но меня смущает одна вещь - когда мне приходит уведомление что веб сервер не доступен, я вижу что среди активных конектов висит IP у которого 20-30 соединений, при том что я использовал вашу команду для ограничения в 15 соединений. Сервер при этом уже работает когда я захожу, но почему то в выводе я вижу эти 20-30 коннектов с одного IP. Почему и как сделать чтобы такой IP блокировался быстрее?

[Дмитрий]

Отвечу сам себе - атака идет на все порты подрят (не только 80), поэтому ваша команда блокирует не все атаки. Как указать блокировку 15 активных соединений на ЛЮБОЙ порт?

[Azazel PW]

Дмитрий: Не указывайте порт. Вообще даже если атака идет на все порты, попробуйте сделать nmap %iphost% с внешней сети и вы увидите какие порты открыты. Закройте их и сервер перестанет отвечать на такие сообщения. Так же настройте чтобы сервер не отвечал на ICMP пакеты. Нагрузка уйдет.

[Дмитрий]

Azazel PW: Вывод nmap выдал следующее:

Host is up (0.042s latency).
Not shown: 984 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
80/tcp open http
106/tcp open pop3pw
110/tcp open pop3
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
443/tcp open https
445/tcp filtered microsoft-ds
465/tcp open smtps
587/tcp open submission
993/tcp open imaps
3306/tcp open mysql
8443/tcp open https-alt

Судя по выводу открыты только нужные порты, но почему тогда при выводе netstat я вижу что IP долбится даже в порты 40000-50000?

К примеру сейчас один IP имеет 18 соединений (странно почему, если я задавал лимит в 15):

netstat -na | grep 185.11.146.127
tcp6 0 0 XXX.76.86.102:80 185.11.146.127:37422 CLOSE_WAIT
tcp6 0 0 XXX.76.86.102:80 185.11.146.127:50031 CLOSE_WAIT
tcp6 0 0 XXX.76.86.102:80 185.11.146.127:59245 CLOSE_WAIT
tcp6 0 0 XXX.76.86.102:80 185.11.146.127:35261 CLOSE_WAIT
tcp6 0 0 XXX.76.86.102:80 185.11.146.127:39996 CLOSE_WAIT
(часть вывода)

И стучит он в 80. CLOSE_WAIT означает что его сервер "отфутболил"? Но почему он по прежнему висит в таблице соединений (и наверно продолжает тормозить сервер).

А вот другой IP у которого 10 соединений, он уже стучит во все порты подрят:
tcp 0 0 XXX.76.86.102:51326 104.20.6.155:80 TIME_WAIT
tcp 0 0 XXX.76.86.102:51322 104.20.6.155:80 TIME_WAIT
tcp 0 0 XXX.76.86.102:51304 104.20.6.155:80 TIME_WAIT
tcp 0 0 XXX.76.86.102:51313 104.20.6.155:80 TIME_WAIT
tcp 0 0 XXX.76.86.102:51358 104.20.6.155:80 ESTABLISHED

Почему тут есть ESTABLISHED если порт 51358 закрыт?

К примеру сейчас у меня у обычных IP 1-5 соединений (думаю это нормально), но есть несколько больше 10:
10 104.20.6.155
13 0.0.0.0
16 104.20.8.155
18 185.11.146.127

Это точно не реальные люди и можно ли блокировать больше 10 не боясь забанить людей (сейчас использую 15 лимит)? И почему в списке есть 0.0.0.0 (что это? для локалхоста странный адрес)?

И еще вопрос - возможно ли дополнить вашу команду чтобы помимо отклонения запросов выше лимитов IP их создающие автоматически заносились в бан по типу команды iptables -I INPUT -s 185.62.188.91 -j DROP. То есть к примеру если один IP создал больше 15 запросов одновременно он автоматически попадал в бан навсегда.

[Azazel PW]

Дмитрий: PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
80/tcp open http
106/tcp open pop3pw
110/tcp open pop3
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
443/tcp open https
445/tcp filtered microsoft-ds
465/tcp open smtps
587/tcp open submission
993/tcp open imaps
3306/tcp open mysql
8443/tcp open https-alt

Это nmap с той же подсети.
Если с внешки, то у вас неправильно настроен iptables в принципе.
Зачем непонятно откуда разрешать доступ к ресурсу, по всем портам.
С внешки вам по умолчанию нужен только 80 порт.
Остальное разрешать только с определенных ip адресов, знакомых.
CLOSE_WAIT состояние незавершенной сессии.

[Дмитрий]

Я ввел nmap команду со своего компьютера (MacOS) без соединения с сервером в Германии по SSH, так что это не таже подсеть.

[Дмитрий]

На сервере стоит Plesk Panel, и это видимо настройки Firewall в ней по умолчанию: take.ms/GeHr8 (скрин)

[Дмитрий]

Разрешить доступ к другим сервисам только "своим IP" проблематично - у меня не статический IP, и мне может понадобиться подключится к серверу не с моего IP (в поездке через VPN к примеру), какой я тоже не знаю какой будет.

[Дмитрий]

Да и в данный момент как видите проблема не в этих портах, долбят то совсем в другие (в 80 и в 30000+).

[Azazel PW]

Дмитрий: установите stunnel если динамический IP
тогда будете подключатся к серверу по сертификату

Answer 2

[bukass]

А как отменить (на всякие случай) указанную вами выше команду?

Не подгружать.