Was ist normal?

[jan10001]

Mit fail2ban banne ich SSH Login Versuche und frage mich gerade, bei wie vielen geblockten IP Adressen pro Tag spricht man noch vom Hintergrundrauschen? Diese Nacht, wurden 500 IP Adressen gebannt.

[daemotron]

Das wird wohl eine durchziehende Bot-Horde gewesen sein. Angriffe auf SSH gehen immer stärker von verteilten Systemen aus; das mindert die Wirksamkeit von automatisierter Intrusion Prevention ganz erheblich (siehe z. B. auch http://bsdly.blogspot.com/2013/10/the-h ... arned.html)

[Joe User]

Ich hatte mitte des Jahres mal über 3000 verschiedene IPs welche folgende pf-Rule getriggert haben. Danach habe ich die Rule rausgeworfen, weil sie meine Statusmails unübersichtlich machte und mein SSHd das auch selbst verarbeiten kann.

Code: Select all

pass in quick on $ext_if inet proto tcp from any to any port 22 modulate state (max-src-conn  25, max-src-conn-rate  5/300, overload <badhosts_sshd> flush global)

Ist also nichts aussergewöhnliches und fail2ban würde ich damit gar nicht erst belasten.

[jan10001]

Na dann ist ja alles ok.