[Eisfair] [e64] bfb DoS attacks

So Mär 12 17:41:48 CET 2023

Hallo Olaf,

Am 12.03.2023 um 17:05 schrieb Olaf Jaehrling:
> Kommt darauf an was du unter Dos-Attacken verstehst. Wirst du geflooded 
> mit html-Anfragen oder so?

ja, mein Lancom erkennt das immer und ich bekomme diese emails:

--- [schnipp] ---

Date: 3/10/2023 17:30:35

The packet below

Src: 144.172.73.6:6951  Dst: 172.23.56.254:443 {eis} (TCP)

MAC-Header (14 Bytes)

    02 a0 57 54 ed 11 3c a6  2f 33 50 01 08 00       | ..WT..<. /3P...

IP-Packet (52 Bytes):

    45 00 00 34 78 1d 40 00  72 06 44 37 90 ac 49 06 | E..4x. at . r.D7..I.
    ac 17 38 fe 1b 27 01 bb  fa 99 6e 90 00 00 00 00 | ..8..'.. ..n.....
    80 02 39 08 f1 35 00 00  02 04 05 b4 01 03 03 06 | ..9..5.. ........
    01 01 04 02                                      | ....

matched this filter rule: DoS protection
filter info:              possible SYN flooding attack against 172.23.56.254

because of this the actions below were performed:
    drop
    send SNMP trap
    send email to administrator

--- [schnapp] ---

>> Attacken abzuwehren bzw. die IP's von denen solche Angriffe ausgehen 
>> zu sperren?
> Mit hilfe von BFB kannst du zumindest händisch die ips sperren
> /usr/local/brute_force_blocking/bfb.sh $IP add block
> 
> Damit wird die IP für die Dauer gesperrt, die im setup eingetragen ist.

ah ja interessant :)
Kann man das irgendwie automatisieren?
Es sind in letzter Zeit relativ viele dieser Attacken - allein heute 
bereits 25 :/

Vielen Dank & viele Grüße
Fabian

-- 
Diese E-Mail wurde von AVG-Antivirussoftware auf Viren geprüft.
www.avg.com