È solo un'idea. Recentemente ho registrato che il mio server è scansionato da strumenti w00tw00t.
Ho trovato molte soluzioni a questo, come l'uso di apache mod-security , fail2ban , ecc.
Quello di cui voglio parlare, è l'uso di iptables per bloccare tali IP, in base alla corrispondenza del log di Apache.
Se dovessi usare qualche idea presentata, su come bloccare l'indirizzo di scansione, dobbiamo sottolineare il fatto importante, che è richiedere che gli IP siano quasi sempre falsificati , il che significa che non lo fanno appartiene all'attaccante.
Questa idea non causa danni ai nostri utenti comuni? Se bloccherei l'IP, che è stato falsificato dall'attaccante, bloccherò qualcuno, che non mi sta causando un danno reale, il che significa, in conclusione, che nessuna della difesa basata su iptables è utilizzabile , o mi sbaglio?
O peggio, questa misura preventiva lato server potrebbe essere usata come attacco? Ad esempio, se ho bisogno di impedire a qualcuno di accedere al sito, rovinerò il suo IP e lo faremo bloccare da questo sistema preventivo usando iptables blocking , non è vero?