Ну что, всех начали сканить распределённо или меня одного? :_)
Второй день один из моих серверов сканят со всего мира - 6 миллионов попыток регистраций. Из многогиговых логов добылись полторы тыщи ИПов. Их все зафаерволил, но каждые 3-5 минут появляется новый.
Сначала подумалось, что это кто-то через проксики сканит, но ни одного проксика не нашёл ни на одном адресе.
Как думаете, что это? Ботнет, вирус, скайп? (В организованности системы уверен - сканируемые диапазоны логинов не пересекаются).
Fail2Ban поможет? (В смысле, не ляжет ли он раньше астериска при одновременном многотысячном коннекте?)

последний вопрос мне тоже интересен
имхо нужно какой-то новый производительный метод определения атаки

А, забыл написать: номера без паролей насканились, но по ним никто не звонил и сканить не прекратили.

У меня при включённом Fail2Ban успевают просканировать 100-200 номеров. Видимо, данные в буфере логов задерживаются, о чём и читал в документации. Как бы это время уменьшить?

я думаю надо сливать логи напрямую в pipe, а там уже на лету анализировать то, что приходит. Т.о. буфера практически не будет, можно четко отслеживать все события. Но для высокой производительности нужно обеспечить многоуровневую обработку с использованием быстрых языков.

Время никак не уменьшить.НО
1) Сначала сканируют на наличии номеров.
2) Сканируют на существующие номера с подбором паролей.
3) Ждут хозяина когда трафик запустить :)

то SAPRO жди скоро звонки пойдут
то Evgen fail2ban забанил на 1 уровне скана так что переживать не стоит.

Меня тоже примерно 2 недели назад жестоко сканировали fail2ban оправдал мой ожидания все забанил на первом этапе сканирования

P.S. советую использовать "alwaysauthreject = yes" в sip.conf
Проводил тесты сам себя сканил :)

Alexcr, почему с моим подходом нельзя уменьшить время обработки?

Может и поможет pipe я не проверял, да и смысла не вижу, по времени это примерно 2-3 секунды.

Здравствуйте. Подскажите, а такая строчка в iptables меня спасет?

iptables -A INPUT -p udp --dport 5060 -m recent --name sip --set
iptables -A INPUT -p udp --dport 5060 -m recent --name sip --rcheck --seconds 30 --hitcount 30 -j DROP

CoolRoot: Нет, конечно. При таком раскладе 30 любых пакетов от любого клиента банят его на 30 сек. Так можно только syn-пакеты tcp фильтровать.

Evgen: Как же 100-200, если сканят с полутора тысяч адресов? Или с каждого адреса 100-200?