Panel IP Whois lookups [SOLVED]

[blickgerecht]

Hi zusammen,

ich will da politisch jetzt nicht einsteigen, aber unsere Erfahrungen teilen (hatte es ja in anderen Threads schon angesprochen), da wir auch immer wieder Attacken haben, oft 404-Floods, mit sekündlich wechselnden IPs und Pfaden. Nicht einfach für fail2ban und immer wieder ein Problem für den Server, weil die Anfragen erstmal legitim aussehen.

Wir nutzen seit kurzem auch ein europäisches CDN (Bunny), das DSGVO-konform arbeiten kann (zumindest soweit wir es beurteilen und der Anbieter es beteuern kann). Wir machen ausschließlich Managed Hosting, daher fällt die Konfiguration nicht ganz so schwer bzw. muss nicht so generisch sein, wie es in anderen Anwendungsfällen der Fall ist.

GEO-Blocking könnten wir darüber ohne Aufwand machen, machen wir aber nicht. Einerseits, weil Kunden unserer Kunden ja durchaus in Ländern sein könnten, die wir damit aussperren würden. Andererseits hatten wir gerade am Wochenende wieder eine Attacke, die trotz WAF/CDN den Server in die Knie gezwungen hat (404-Flood, siehe oben). Die Angriffe kamen hauptsächlich aus Deutschland. Ob nun von gekaperten Servern oder angemieteten oder was auch immer – die Mühe mache ich mir nicht, es hilft ja auch nicht, meines Erachtens.

Bot-Netzwerke finden sicher immer ihren Weg, die Angriffe aus geographisch "legitimen" Regionen zu machen. Wir wollten nur nicht mehr nur damit beschäftigt sein, Server-Ressourcen damit zu sehr belasten, daher der Weg mit dem CDN.

Vielleicht hat der Austausch ja was Gutes, auch wenn später mal jmd. darüber stolpert.

[Ralph]

Bot-Netzwerke finden sicher immer ihren Weg, die Angriffe aus geographisch "legitimen" Regionen zu machen. Wir wollten nur nicht mehr nur damit beschäftigt sein, Server-Ressourcen damit zu sehr belasten, daher der Weg mit dem CDN.

guter Punkt ... alle großen Provider (nicht nur MS) auch DO, AWS, HostPapa und viele viele mehr wurden da mit reingezogen, wir werden von innen heraus angegriffen und zusätzlich noch über massenhaft CH, KP, RU Netze ...
Eine CDN kann ja vieleicht EU koform sein, aber was ist wenn der CDN Provider selbst Opfer einer Attacke wird und auch kann niemand sicherstellen dass keine Daten im CDN landen die am Ende irgendwelche abgefischten Zugänge enthalten (z.b. durch third party plugins von der Quelle) oder die CDN könnte auch genutzt werden um Malware zu verteilen.
Was ich damit sagen will, eine CDN kann nur kurzfristig entlasten bei Webserver basierten Attacken.
Es ist am Ende ein politisches Ding und die derzeitigen sowie zukünftig völlig neue Attacken können ab einem gewissen Punkt nicht mehr technisch aufgehalten werden.