Un servicio de protección DDOS de terceros como cloudflare.com puede ser el mejor lugar para comenzar con el tráfico web típico, pero esto no lo protegerá de todo. Sin embargo, ha planteado una pregunta importante y saber cómo proteger sus propios servidores por sí mismo es muy importante.
Lo siguiente le dará instrucciones sobre cómo bloquear los servidores proxy, pero también señalaré que obtener la lista inicial de IP para bloquear, o permitir, puede ser un poco complicado.
Desea saber cómo implementar listas negras para poder bloquear todas las direcciones IP de ataque que puedan preocupar o ver durante el ataque (en su caso, la lista de IP de los servidores proxy). Dicho esto, es importante entender cómo las listas negras realmente te ayudan. Las listas negras son una excelente manera de ralentizar o bloquear temporalmente a los atacantes y pueden funcionar muy bien cuando se activan adecuadamente. Incluso una lista negra de 30 minutos de IP que envía tráfico malicioso realmente puede tener un gran impacto contra cualquier tipo de ataque automatizado. Existen herramientas como fail2ban (enlace a continuación) que pueden ayudarlo a automatizar fácilmente su lista negra basada en comportamientos maliciosos. Del mismo modo, existen herramientas como ipset (enlace a continuación) que se pueden usar con iptables para crear listas negras o listas blancas extremadamente grandes que pueden bloquear o permitir fácilmente decenas de miles de IP sin casi impacto en el rendimiento y bloquear millones de IP con sólo un ligero rendimiento en el impacto.
El despliegue efectivo de ipset e iptables combinados con la lista de proxies es todo lo que necesita.
Los siguientes son algunos consejos que recomiendo para configurar sus listas negras para el uso a largo plazo:
Básicamente, debido a que cada organización tiene necesidades y requisitos diferentes, cada implementación puede ser un poco diferente, pero como regla general, agrupa a los que integro la lista negra en tres categorías.
1.) IPs que nunca necesitarán conectarse a estos sistemas
2.) IP que están haciendo cosas realmente dañinas dirigidas a estos sistemas
3.) Las IP que están escaneando o haciendo algo menos dañino, pero aún así son molestas y pueden incluir un sistema infectado por los clientes.
y en base a estos grupos (los suyos pueden ser diferentes, especialmente dada su preocupación inmediata) establecí una variedad de diferentes tiempos de bloqueo. En este ejemplo, utilizo los siguientes tiempos de bloqueo en función de los grupos anteriores.
1.) Para siempre
2.) 24-168 horas
3.) 30-60 minutos, siendo los más frecuentes 30 minutos.
Dicho esto, también tomaría en contexto la actividad que está en la lista negra. Si una organización tiene un sitio web público pero veo ataques de shell-shell o un servidor VPN (algo que NO está destinado a ser accesible al público en general), no me importa bloquear esa actividad de tipo por mucho más tiempo en ese puerto o protocolo. Del mismo modo, si veo una dirección IP que realmente está golpeando un sitio con decenas de miles de ataques o actividades repetidas durante días, la IP se bloquea durante más tiempo. Es posible que, desde el artículo al que está vinculado, desee bloquear las cosas durante al menos 48 horas para comenzar y comenzar a crear su lista blanca de buenas IP inmediatamente.
Siempre hay riesgos cuando se bloquea el tráfico por un período de tiempo, pero he visto que es cada vez más común ver el bloqueo de organizaciones muy grandes durante al menos 30 minutos para interrumpir los ataques automatizados y recomiendo hacerlo de todos modos porque se deshace de gran parte del escaneo de fuerza bruta que finalmente afecta a todos los sitios.
Nota: con el grupo # 2 también es aconsejable enviar un correo electrónico de abuso a los actores malos ISP CC'ing el propietario de IP y / o el propietario del dominio. Con frecuencia, esto ayuda a resolver el problema después de unos días y, si no, siempre puede promocionar esa IP al grupo # 1, si es que también.
Finalmente, también recomendaría crear una lista blanca de su infraestructura y también de sus socios comerciales clave o clientes críticos. Ocasionalmente, los socios comerciales verifican la seguridad de su cadena de suministro y es posible que no desee bloquear automáticamente estas organizaciones si deciden examinar más de cerca lo que está haciendo.
Creo que es muy prudente enlistar activamente a los actores malos, especialmente porque es una defensa muy rentable, pero no limitaría su bloqueo a un solo tipo & marco de tiempo si se puede evitar. Dicho esto, si lo hace, 30 minutos parece ser la norma de la industria en este momento.
enlace
enlace
enlace
Si no hay nada más, esto le permitirá tener los "ganchos" en su lugar para bloquear un gran número de IP en el futuro, así que lo recomendaría sin importar cómo maneje su problema en el corto plazo. Espero que esto ayude.