Différences

Ci-dessous, les différences entre deux révisions de la page.

--- technique:adminsys:tips:bloquer_une_plage_ip [2022/05/10 08:56] – créée rdelaage
+++ technique:adminsys:tips:bloquer_une_plage_ip [2022/05/10 09:04] (Version actuelle) – [Bloquer une page IP] rdelaage
@@ Ligne 1: / Ligne 1: @@
-# Bloquer une page IP
+# Bloquer une plage IP
 Il peut arriver qu'une ou plusieurs machines d'une plage IP spamme nos services, cela provoque de nombreuses erreurs et éventuellement des baisses de performances. Cela peut avoir plusieurs origines (crawleur mal configuré, recherche de vulnérabilité, attaque, ...). Il peut être intéressant dans ce cas de rechercher l'adresse IP (ou les adresses IP) concernée puis la bloquer directement sur les hyperviseurs pour éviter le spam.
 ## Rechercher l'IP concernée
+Il y a traefik, notre reverse proxy, entre le réseau et nos services. Les logs des services ne montrent donc pas les adresses IP réelles des connexions. Il faut passer par les logs de traefik afin de voir les adresses IP qui se connectent beaucoup à nos services.
+On peut utiliser une commande comme `docker logs traefik | grep -v "^192\.168\." | tr ":[" "  " | cut -d" " -f1,5 | sort | uniq -c | sort -n` pour voir les connexions par jour et par IP. Cette commande est évidemment à adapter si on veut chercher les connexions par service par exemple.
+Il faut faire attention, certaines IP comme celles de l'UTC se connectent beaucoup mais ces connexions sont le plus souvent légitimes. Un petit coup de `whois X.X.X.X` pour obtenir plus d'informations sur l'IP peut être intéressant. De plus on peut consulter https://www.abuseipdb.com pour savoir si d'autres se sont plaint de cette IP.
 ## Bloquer l'IP (ou la plage)