Gente, todos sabemos que la lista negra IP no funciona: los spammers pueden entrar a través de un proxy, además, los usuarios legítimos pueden verse afectados ... Dicho esto, la inclusión en la lista negra me parece una forma eficiente mecanismo para detener a un atacante persistente, dado que la lista real de IP se determina dinámicamente, en función de los comentarios de la aplicación y el comportamiento del usuario.Lista negra dinámica basada en IP
Por ejemplo: - alguien que trata de fuerza bruta en su pantalla de inicio de sesión - una serie de cuestiones bot mal escritos muy extrañas peticiones HTTP a su sitio - una secuencia de comandos para niños utiliza un escáner para buscar vulnerabilidades en su aplicación
me pregunto si el siguiente mecanismo funcionaría, y si es así, ¿sabe si hay algún herramientas que lo hacen:
- En una aplicación web, desarrollador tiene un gancho para informar de un "delito" . Una ofensa puede ser menor (contraseña inválida) y tomaría docenas de tales ofensas para quedar en la lista negra; o puede ser importante, y un par de esas ofensas en un período de 24 horas te echa a patadas.
- Alguna forma de bloque de nivel de servidor web se activa antes de cargar cada página, y determina si el usuario proviene de una IP "incorrecta".
- Hay un mecanismo de "perdón" incorporado: las ofensas ya no cuentan contra una IP después de un tiempo.
Gracias!
nota adicional: que sería increíble si la solución trabajó en PHP, pero me encantaría escuchar sus pensamientos sobre el enfoque en general, para cualquier lenguaje/plataforma de
¿Hay alguna manera de comunicarse con iptables desde una aplicación web? Al igual que "Hey IPtables, creo que hay un intruso en la dirección X, míralas para ver si se comportan mal en el futuro". Estoy de hecho en Linux, ejecutando PHP. –