( nagylzs | 2021. 08. 06., p – 11:17 )

Oké szóval itt van a filter. Azt nézi, hogy a hostname részben van-e legalább 3 kisbetű és 3 nagybetű.

[INCLUDES]
before = common.conf

[Definition]
failregex = .*queries: client @0x.* <HOST>#.+\((?=([^\)]*[a-z][^\)]*){3})(?=([^\)]*[A-Z][^\)]*){3})[^\)]*\):\s*query:
ignoreregex =

Namost ez igazából félig jó. Mivel az fqdn -ek valójában nem case sensitive-ek. :-) Szóval ha szigorúan vesszük, akkor ebből ELVILEG nem lehetne azt megtudni, hogy ez egy DNS amplification attack-e. A tökéletes az lenne, ha azt néznénk meg, hogy korábban ugyan erről az ip-ről ugyan erre a (case insensitive) domain-re jött-e be kérés néhány percen belül. De ilyet ugye nem lehet, mert a fail2ban (tudtommal) nem képes ilyen state-t tárolni és használni. Mindig csak az aktuális sort tudja elemezni, a korábbiaktól függetlenül.

A gyakorlatban szerintem jó lesz, most ezt látom:

2021-08-06 11:10:19,090 fail2ban.filter         [5339]: INFO    [named-case-amplify] Found 213.136.95.11 - 2021-08-06 11:10:19
2021-08-06 11:10:19,091 fail2ban.filter         [5339]: INFO    [named-case-amplify] Found 173.212.200.42 - 2021-08-06 11:10:19
2021-08-06 11:10:19,368 fail2ban.actions        [5339]: NOTICE  [named-case-amplify] Ban 213.136.95.11
2021-08-06 11:10:19,403 fail2ban.actions        [5339]: NOTICE  [named-case-amplify] Ban 173.212.200.42
2021-08-06 11:10:29,574 fail2ban.filter         [5339]: INFO    [named-case-amplify] Found 2001:4c48:1:0:e611:5bff:fe98:2805 - 2021-08-06 11:10:29
2021-08-06 11:10:29,942 fail2ban.filter         [5339]: INFO    [named-case-amplify] Found 2001:4c48:1:0:e611:5bff:fe98:2805 - 2021-08-06 11:10:29
2021-08-06 11:10:29,948 fail2ban.filter         [5339]: INFO    [named-case-amplify] Found 2001:4c48:1:0:e611:5bff:fe98:2805 - 2021-08-06 11:10:29
2021-08-06 11:10:30,040 fail2ban.actions        [5339]: NOTICE  [named-case-amplify] Ban 2001:4c48:1:0:e611:5bff:fe98:2805
2021-08-06 11:10:30,993 fail2ban.filter         [5339]: INFO    [named-case-amplify] Found 84.2.227.134 - 2021-08-06 11:10:30
2021-08-06 11:10:31,445 fail2ban.filter         [5339]: INFO    [named-case-amplify] Found 84.2.227.134 - 2021-08-06 11:10:31
2021-08-06 11:10:37,849 fail2ban.filter         [5339]: INFO    [named-case-amplify] Found 2a02:c206:5028::1:53 - 2021-08-06 11:10:37

Jó sok különböző IP-ről jönnek. :-(