Mich beschäftigt das Thema auch, weniger aus Betroffenheit, sondern viel mehr aus Interesse daran, die Zusammenhänge zu verstehen und wie man damit umgehen kann, wenn sowas passiert.
Novalix sagt, dass man auf TCP-Ebene da nichts gegen ausrichten kann und man den Prozess selber monitoren muss. Ich kann das nicht widerlegen, und ich verstehe das auch noch nicht wirklich. Bei mir gibts momentan nur den einzigen relevanten nach außen geöffneten Prozess "openvpn", der also gemonitored werden müsste... und spannenderweise läuft dieser Prozess bei mir auch noch auf dem neuralgischen Port 443, auf dem obligatorisch immer was los ist.
Und genau da beginnt mein Unverständnis. Es gibt in dem überwachten Prozess keine Auffälligkeiten, auf die beispielsweise fail2ban überhaupt reagieren könnte. Das gleiche wäre meiner Meinung nach der Fall, wenn ich den Mailserver nach außen öffen würde. Es ist ja nicht so, dass bei mir nix passiert, im Gegenteil, ich habe da täglich mehr oder weniger hartnäckige Kandidaten, siehe Listing unten. Die unten gelistete IP 184.154.189.90 steht allerdings genau ein einziges Mal im Openvpn-Log, welches ja überwacht werden müsste - das hier gezeigte Listing kommt nämlich vom Paketfilter. Der Filter-Effekt ist hier, Folge-Pakete der gleichen IP kommen gar nicht erst bis zum Service durch, fail2ban würde hier also nie reagieren können, weil eine IP bereits beim 2. TCP-Paket sofort dynamisch gesperrt wird und weil es deshalb im Log gar nicht erst zu Auffälligkeiten käme, auf die fail2ban überhaupt reagieren könnte.
Meine eigentliche Frage ist, was passiert also bei einer solche Attacke? Bisher bin ich davon ausgegangen, dass sehr viele Verbindungsversuche von einer IP oder einer bestimmten Anzahl von IP ständig wiederholt versucht werden. Aber bei genau solchen Attacken kann hier auf meinem System wirklich nur das erste Paket beim eigentlichen Service ankommen, von allen anderen Paketen sieht der Service tatsächlich gar nix, weil die vorher schon gedropt werden ... und in Folge würde auch fail2ban nix davon sehen. Deshalb nicht, weil mein Paketfilter das schon vorher dynamisch im Sinne einer Stateful-Firewall selber handhabt. Das heisst, in den Logs meines Openvpn-Prozesses, also die eigentliche Quelle für fail2ban, steht jede IP mit einem Verbindungs-Fehlversuch genau ein einzige Mal drin. Es gibt dort keine zweiten oder dritten aufgelisteten Fehlversuche,, wegen derer sich fail2ban zum Handeln aufgefordert fühlen könnte. Bei meinem Mailserver wäre das imho auch nicht anders.....
Und jetzt frag ich mich, wo ist da mein Gedankenfehler? Was passiert wirklich bei einer DoS-Attacke...?... anscheinend gehe ich hier von falschen Voraussetzungen aus?
Code: Alles auswählen
Journal last 24h:
Mai 07 11:38:31 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=184.154.189.90
Mai 07 11:38:32 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=184.154.189.90
Mai 07 11:38:34 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=184.154.189.90
Mai 07 11:38:37 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=184.154.189.90
Mai 07 11:38:38 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=184.154.189.90
Mai 07 11:38:40 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=184.154.189.90
Mai 07 11:38:42 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=184.154.189.90
Mai 07 11:38:43 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=184.154.189.90
Mai 07 11:38:45 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=184.154.189.90
Mai 07 11:38:48 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=184.154.189.90
Mai 07 11:38:49 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=184.154.189.90
Mai 07 11:38:51 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=184.154.189.90
Mai 07 11:38:54 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=184.154.189.90
Mai 07 11:38:55 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=184.154.189.90
Mai 07 11:38:57 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=184.154.189.90
Mai 07 11:39:00 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=184.154.189.90
Mai 07 11:39:01 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=184.154.189.90
Mai 07 11:39:03 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=184.154.189.90
Mai 07 11:39:06 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=184.154.189.90
Mai 07 11:39:07 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=184.154.189.90
Mai 07 11:39:09 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=184.154.189.90
Mai 07 13:02:40 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=62.4.15.163
Mai 07 13:02:46 server kernel: Temp.banned IP: IN=eno1 OUT= SRC=62.4.15.163