触发具有大量同时连接的IP的fail2ban

Question

我们的服务器流量很大。 从昨天开始，我们（可能）受到了自动僵尸网络的攻击，该僵尸网络的IP同时打开了数千个同时连接。 那真的是在浪费资源，我们尝试使用fail2ban阻止它，但是还没有成功。

希望您能提供帮助！

我们正在使用apache2和fail2ban的Debian 9.8上运行。

Answer 1

这一切取决于您的/etc/fail2ban/jail.local的外观。

应设置为尝试3次后阻止该IP。例如：

# "bantime" is the number of seconds that a host is banned.
bantime  = 6000
# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime = 60
maxretry = 3

请注意，以上内容表示，如果在60秒内尝试3次，则“禁止”添加到监狱100分钟。

bantime = -1 

矮脚鸡-1表示永久禁止。