Page 1 of 1
Was ist normal?
Posted: 2014-12-10 09:53
by jan10001
Mit fail2ban banne ich SSH Login Versuche und frage mich gerade, bei wie vielen geblockten IP Adressen pro Tag spricht man noch vom Hintergrundrauschen? Diese Nacht, wurden 500 IP Adressen gebannt.
Re: Was ist normal?
Posted: 2014-12-10 11:51
by daemotron
Das wird wohl eine durchziehende Bot-Horde gewesen sein. Angriffe auf SSH gehen immer stärker von verteilten Systemen aus; das mindert die Wirksamkeit von automatisierter Intrusion Prevention ganz erheblich (siehe z. B. auch
http://bsdly.blogspot.com/2013/10/the-h ... arned.html)
Re: Was ist normal?
Posted: 2014-12-10 13:59
by Joe User
Ich hatte mitte des Jahres mal über 3000 verschiedene IPs welche folgende pf-Rule getriggert haben. Danach habe ich die Rule rausgeworfen, weil sie meine Statusmails unübersichtlich machte und mein SSHd das auch selbst verarbeiten kann.
Code: Select all
pass in quick on $ext_if inet proto tcp from any to any port 22 modulate state (max-src-conn 25, max-src-conn-rate 5/300, overload <badhosts_sshd> flush global)
Ist also nichts aussergewöhnliches und fail2ban würde ich damit gar nicht erst belasten.
Re: Was ist normal?
Posted: 2014-12-11 18:15
by jan10001
Na dann ist ja alles ok.