[Eisfair] [e64] bfb DoS attacks

[Olaf Jaehrling]

Hallo Fabian

Fabian Törner schrieb am 12.03.23 um 17:41:
> Hallo Olaf,
> 
> Am 12.03.2023 um 17:05 schrieb Olaf Jaehrling:
>> Kommt darauf an was du unter Dos-Attacken verstehst. Wirst du 
>> geflooded mit html-Anfragen oder so?
> 
> ja, mein Lancom erkennt das immer und ich bekomme diese emails:
> 

> 
> matched this filter rule: DoS protection
> filter info:              possible SYN flooding attack against 
> 172.23.56.254
> 

> 
> ah ja interessant :)
> Kann man das irgendwie automatisieren?

Ja, kann man, die Frage ist eher wie. Im Prinzip muss du mal schauen, 
wie du in die Mails schauen kannst. Wenn der Mailserver auch der 
Webserver ist und dort auch bfb läuft könnte es über exim-filter gehen.
in de .forward kannst du eine pip einbauen und an ein Programm übergeben.
Könnte so aussehen
=============================
# Exim filter   <<== do not edit or delete this line
if
         $h_from: contains "lancom at home"
         then
                 pipe $home/bin/mymailscript
endif

Im mymailscript grepst du nach "possible SYN flooding attack against" 
und übergibst die an bfb.sh

Gruß

Olaf


> Es sind in letzter Zeit relativ viele dieser Attacken - allein heute 
> bereits 25 :/
> 
> Vielen Dank & viele Grüße
> Fabian
> 
> 
> 

-- 
Paketserver: https://ojaehrling.de/eis/index.txt