А какие блэклисты для NGINX используете Вы, и стоит ли их использовать?

Question

[gremlintv2]

История такая: прислал мне мой ISP жалобу мол:

"Але! Тут тебя вроде как дудосят? Ты че-то будешь делать с этим?!"
Ну и я - как простой обыватель интернетов, полез в гугль, перелопатил несколько статтей по этой тематике на хабре ну и парочку из-за бугра, настроил соответствующим образом nginx и используя утилиту, которая читает логи nginx, перебанил все адреса этого нехорошего дядьки, у которого ничего не получилось (я надеюсь. Эни вэй: желаю ему всего хорошего - "как говориться денег нет, но вы держитесь").
Паралельно, я нашел несколько ресурсов, которые предоставляют списки множества адресов по разным категориям, разного слоя интернет жуликов и бандитов(в том числе и ТОR сети из которой мало что полезного может прийти на сервак).

Собственно сам вопрос:
1) Какие из ниже перечисленных ресурсов Вы сами используете и какие категории из них:
www.stopforumspam.com/
www.badips.com/get/list/nginx/1
iplists.firehol.org/
2) Как бы и сам могу накостылять, но не поделитесь ли готовым скриптиком на bash/python для составления таких списков для nginx include? )
3) Возникла непонятка: в процесе блокировки: когда добавил в hosts.deny ip злого дядьки в виде:

ALL:111.111.111.111

Перезагрузил nginx, а злодей и дальше тарабанит по nginx! Почему так? Разве я неправильно прописал?
С уважением ;)

Answer 1

[SagePtr]

Потому что средствами nginx фильтровать DDoS-атаку бесполезно, у вас сетевой канал забьётся быстрее, чем эти пакеты будут до nginx доходить

Comments

[gremlintv2]

Спасибо
как насчет средств hosts.deny /iptables?

[Mysterion]

gremlintv2, если с каналом все в порядке, то загнется iptables от атаки либо сам сервер от подсчета кол-ва запросов и чтения логов.
Вас как атакуют то? Каким методом? Если это http-флуд, можете поставить nginx-testcookie модуль и limit_req включить.

[gremlintv2]

Mysterion,

если с каналом все в порядке, то загнется iptables от атаки либо сам сервер от подсчета кол-ва запросов и чтения логов
Вас как атакуют то? Каким методом? Если это http-флуд, можете поставить nginx-testcookie модуль и limit_req включить.

Спасибо
Вот это - меня и беспокоит("загнется сам сервер от подсчета кол-ва запросов и чтения логов"). Сейчас уже никак не атакуют. Хочу заблокировать TOR диапазон. Но как я понимаю:
host deny; в nginx не лучшее решение задачи. Так как пакеты будут еще и через netfilter проходить.
Пробовал через tcpd (hosts.deny) но для http он не работает :(.
Для iptables составлять "километровые" цепочки - тоже как-то, ну очень очень костыльно выглядит :) (https://www.dan.me.uk/torlist/?exit )

[Mysterion]

gremlintv2, опять же, если речь о защите сайта, то все проще, чем о защите самого сервера.
Сайт с помощью nginx защитить можно.
Например:
https://gongled.ru/blog/2017/01/03/how-to-block-to...
https://gist.github.com/tiagoad/2200a48e95980f32df...
А если речь о самом сервере, то вместо iptables нужно использовать какой-нибудь ipset:
https://ericmathison.com/blog/block-tor-exit-nodes...

[gremlintv2]

Спасибо. Это то, что я искал )

[Сергей Горностаев]

Смотря какой DoS. Если это флуд tcp-handshake'ов или поток на 100 Mbit/s и более, то бесполезно, а если это флуд http-запросами на 1000 rps, то без проблем. Часто атакующий не готов тратиться на взрослую атаку.

[gremlintv2]

Сергей Горностаев, спасибо, почитаем, как я понял из ваших слов, бороться на стороне сервера с флуд tcp-handshake'ов бесполезно? Или имелся ввиду web сервер в частности?

[Сергей Горностаев]

gremlintv2, зависит от мощности атаки. Если поток слабый, можно и фаером зарубить. Но если сильный, то придётся покупать защиту. А если очень сильный, ничто не спасёт.

Answer 2

[Борис Сёмов]

0. Можно использовать что-нибудь типа cloudflare. Заодно хостера сменить, раз такие вопросы задаёт.

1. Фактически от использования этих сервисов мало пользы, лучше см. п.0 тогда уж.

2. Есть fail2ban, например, для него можно писать правила в зависимости от приложения. И не надо это инклюдить в nginx, лучше блокировать на уровне брандмауэра.

3."Перезагрузил nginx, а злодей и дальше тарабанит по nginx! Почему так? Разве я неправильно прописал?"
Nginx не использует tcp-wrappers. И это не блокировка на уровне системы, как iptables. Это попытка дать общую конфигурацию для программ, но работает только для тех, которые это поддерживают. Но и тем, что поддерживают, нужно, зачастую, сконфигурировать использование этого механизма. Рекомендую подробнее почитать о том, что это вообще такое, и как работает.