Fail2ban 複数行正規表現を書く

Fail2ban 複数行正規表現を書く

これが正しい正規表現であるかどうかはわかりませんが、正規表現を無視して複数行を追加しようとしています。

私のddos.confの設定行は次のとおりです。

[Definition]
failregex = ^<HOST> -.*"(GET|POST).*
ignoreregex =.*(robots.txt|favicon.ico|jpg|png)
             ^<HOST> -.*"(GET|POST).*(Googlebot|bingbot)

コードは正しいですか?乗算行に何を追加する必要がありますか?

答え1

failregex次のように、andに複数の正規表現を追加できますignoreregex(viaとまったく同じ方法ignoreregex)。

  • ignoreregexタグは実際には期待されていないので、同様のタグに置き換えてください<HOST>\S+
  • あなたの正規表現は脆弱です。包括的な方法(など)を使用しないでください.*.+したがって、常に可能な最も正確な正規表現を作成して固定するようにしてください。たとえば、最初の後、ignoreregex攻撃者は?robots.txt検索を無視するように要求に追加できます。
  • 偽のGoogleボットが攻撃を実行できるように、プロキシを確認するだけでは不十分です。

Fail2ban 複数行正規表現を書く

複数行の正規表現の可能性は、ログの外観とそこから正確に何を解析する必要があるかによって異なります。

同様の質問に対する私の答えを見るgithub.com/fail2ban #2971, コメント 798429044

私の答えも参照してくださいstackoverflow/64857401 #65375323

関連情報