Es solo una idea. Recientemente he registrado que mi servidor está escaneado por las herramientas w00tw00t.
Encontré muchas soluciones para esto, como el uso de apache mod-security , fail2ban , etc.
El tema del que quiero hablar es el uso de iptables para bloquear tales IP, basadas en la coincidencia de registros de apache.
Si utilizaría alguna idea presentada acerca de cómo bloquear esas direcciones de escaneo, debemos señalar un hecho importante, que es solicitar IP. Casi siempre son falsificadas , lo que significa que no lo hacen. Pertenecen al atacante.
¿Esta idea no está causando daños a nuestros usuarios comunes? Si bloqueara la IP, que fue falsificada por el atacante, bloquearía a alguien que no me está causando un daño real, lo que significa que, en conclusión, ninguna de las defensas basadas en iptables es utilizable , o estoy equivocado?
O peor, ¿podría usarse esta medida preventiva del lado del servidor como ataque? Por ejemplo, si necesito evitar que alguien acceda al sitio, falsificaré su IP y lo bloquearé con este sistema preventivo mediante el uso de bloqueo de iptables , ¿no?
Material de estudio:
enlace
enlace
enlace
enlace
enlace
enlace