14
öffentliche IP-Adressen aus asiatischen Raum sperren
Öffentliche IP-Adressen aus dem asiatischen Raum mittels IP-tables sperren, Möglich?
Hey @ll,
seit kurzem stelle ich vermehrt zugriffsversuche aus dem asiatischen Raum fest. Die Zugriffsversuche beschränken sich nur auf das WEB. Der Web-server ist eine virtuelle Maschine. Die einzigen Dienste, die darauf laufen, sind http, ntp und ein firwallscript mittels iptables.
An sich kann ich über die versuche ja nur schmunzeln, aber es nervt mich, dass mein log-files permanent von diesem "Misst" voll geschrieben werden. Klar, jetzt könnte ich das log'n einfach abstellen und habe meine Ruhe, aber ich will schon wissen, was auf der Kiste abgeht und wo vor allem auch noch Sicherheitslücken sind.
Daher wollte ich einfach nur mal Fragen, ob es ne Möglichkeit gibt, einen öffenlichen Adressraum zu sperren oder mittels Prerouting ins irgendwo routen?? Wenn ja, woher weiß ich, welche IP-Adressen aus Asien geroutet werden. Jede IP-Adresse mittels trace route zu Verfolgen finde ich sehr Zeitaufwendig und auf Grund der Masse an IP's unzumutbar.
Vielen Dank im Voraus für eure Ideen.
Gruß,
Knut
seit kurzem stelle ich vermehrt zugriffsversuche aus dem asiatischen Raum fest. Die Zugriffsversuche beschränken sich nur auf das WEB. Der Web-server ist eine virtuelle Maschine. Die einzigen Dienste, die darauf laufen, sind http, ntp und ein firwallscript mittels iptables.
An sich kann ich über die versuche ja nur schmunzeln, aber es nervt mich, dass mein log-files permanent von diesem "Misst" voll geschrieben werden. Klar, jetzt könnte ich das log'n einfach abstellen und habe meine Ruhe, aber ich will schon wissen, was auf der Kiste abgeht und wo vor allem auch noch Sicherheitslücken sind.
Daher wollte ich einfach nur mal Fragen, ob es ne Möglichkeit gibt, einen öffenlichen Adressraum zu sperren oder mittels Prerouting ins irgendwo routen?? Wenn ja, woher weiß ich, welche IP-Adressen aus Asien geroutet werden. Jede IP-Adresse mittels trace route zu Verfolgen finde ich sehr Zeitaufwendig und auf Grund der Masse an IP's unzumutbar.
Vielen Dank im Voraus für eure Ideen.
Gruß,
Knut
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 104221
Url: https://administrator.de/contentid/104221
Printed on: April 24, 2024 at 02:04 o'clock
14 Comments
Latest comment
Lass mich raten, 99 % der IP-Adressen kommen aus China ?
Es gibt eine Möglichkeit, allerdings bin ich mir nicht mehr sicher wie das ging. Ich frag da mal bei meinem Chef nach
Gruß André
Es gibt eine Möglichkeit, allerdings bin ich mir nicht mehr sicher wie das ging. Ich frag da mal bei meinem Chef nach
Gruß André
Lass mich raten, 99 % der IP-Adressen kommen aus China ?
eigentlich sogar gefühlte 300%
Nun bin ich mal gespannt.
Schönen Feierabend an alle erstmal.
Gruß, Knut
Wenn du die wirklich sperren willst hast du keine wirkliche Chance.
Die beste Lösung ist es eine Geolocation-Database zu verwenden, aber die sind oft veraltet oder ungenau.
Eine solche Datenbank findest du z.B. hier: http://ip-to-country.webhosting.info/
Grüße
Max
Die beste Lösung ist es eine Geolocation-Database zu verwenden, aber die sind oft veraltet oder ungenau.
Eine solche Datenbank findest du z.B. hier: http://ip-to-country.webhosting.info/
Grüße
Max
? ? ?
Sach ma, wie geil ist das denn?
Klar geht das, hab ich auch schon gemacht (mach ich eigentlich bei fast allen meinen Servern, es sei denn, der Kunde kommuniziert mit "drüben"...);
einfach die entsprechenden IP-Ranges sperren, feddisch.
Da Du ja schon iptables hast, ein Kinderspiel.
Lonesome Walker
Sach ma, wie geil ist das denn?
Klar geht das, hab ich auch schon gemacht (mach ich eigentlich bei fast allen meinen Servern, es sei denn, der Kunde kommuniziert mit "drüben"...);
einfach die entsprechenden IP-Ranges sperren, feddisch.
Da Du ja schon iptables hast, ein Kinderspiel.
Lonesome Walker
Klar geht das
Sicher, meine Aussage bezog sich auch darauf das es keine zuverlässige Set-It-And-Forget-It-Lösung gibt.
Eine Sperrliste von heute kann morgen schon veraltet sein, weshalb man da immer hinterher sein muss.
Als Alternative zur Gelocation-Datenbank ist mir für einen ganzen Kontinent auch noch die Zuweisung von IANA eingefallen: http://www.iana.org/numbers/. Die Liste ist dann etwas kleiner.
Grüße
Max
Moin Jungs,
erstmal vielen Danke für euere schnellen Antworten. So, Anhand der Links von dog weiß ich zumindest schon mal, welche IP Bereiche für den asiatischen Raum reserviert sind. Danke an dieser Stelle
@lonesome Walker
Setzt du da jetzt einfach ein drop auf die IP's 058/8 usw?? Oder wie realisierst du das??
Ergo: iptables -A INPUT -s 058/8 DROP ??
Gruß,
Knut
erstmal vielen Danke für euere schnellen Antworten. So, Anhand der Links von dog weiß ich zumindest schon mal, welche IP Bereiche für den asiatischen Raum reserviert sind. Danke an dieser Stelle
@lonesome Walker
Setzt du da jetzt einfach ein drop auf die IP's 058/8 usw?? Oder wie realisierst du das??
Ergo: iptables -A INPUT -s 058/8 DROP ??
Gruß,
Knut
Wieviel RAM hast Du?
Wenn Du >= 2GB hast, würde ich an Deiner Stelle fail2ban verwenden.
Default solltest Du auf DROP lassen (ja, ich weiß, das kostet RAM...)
Hat aber den Vorteil, daß die Leute, die da Zugang auf den Server begehren, das merken...
Und für die besonders Hartnäckigen empfiehlt sich dann ein Eintrag in der hosts.deny...
@dog:
zuerst Bullsh*t schreiben, und dann versuchen, sich zu verbessern, das bin ich ja bereits von Dir gewohnt...
Lieber erst nachdenken, dann posten.
Tut keinem weh, hebt aber die Qualität des Forums hier enorm...
Ganze IP-Ranges aussperren, tstststs...
Klar gehts, aber wieso kompliziert, wenns einfach auch geht...
Lonesome Walker
Wenn Du >= 2GB hast, würde ich an Deiner Stelle fail2ban verwenden.
Default solltest Du auf DROP lassen (ja, ich weiß, das kostet RAM...)
Hat aber den Vorteil, daß die Leute, die da Zugang auf den Server begehren, das merken...
Und für die besonders Hartnäckigen empfiehlt sich dann ein Eintrag in der hosts.deny...
@dog:
zuerst Bullsh*t schreiben, und dann versuchen, sich zu verbessern, das bin ich ja bereits von Dir gewohnt...
Lieber erst nachdenken, dann posten.
Tut keinem weh, hebt aber die Qualität des Forums hier enorm...
Ganze IP-Ranges aussperren, tstststs...
Klar gehts, aber wieso kompliziert, wenns einfach auch geht...
Lonesome Walker
Hey Lonesome,
wenn mein script geladen wird, setze ich erstmal alles auf Drop und mache nach und nach auf.
Zu dem Speicherproblem: Es ist wie gesagt ne virtuelle Maschine mit 256 MB. Mehr wäre dan der Stelle auch zu viel, weil die Kiste nicht mehr zu tun hat als den Web-dienst zur Verfügung zu stellen.
Das nenn ich ja mal ein richtig genialen Einfall. Auf den hätte ich ja selbst kommen können
Nur, wie realisierst du das dann mit der Masse der IP-Adressen?? Trägst du hier ne range ein??
wenn mein script geladen wird, setze ich erstmal alles auf Drop und mache nach und nach auf.
Zu dem Speicherproblem: Es ist wie gesagt ne virtuelle Maschine mit 256 MB. Mehr wäre dan der Stelle auch zu viel, weil die Kiste nicht mehr zu tun hat als den Web-dienst zur Verfügung zu stellen.
Und für die besonders Hartnäckigen empfiehlt sich dann ein Eintrag in der hosts.deny
Das nenn ich ja mal ein richtig genialen Einfall. Auf den hätte ich ja selbst kommen können
Nur, wie realisierst du das dann mit der Masse der IP-Adressen?? Trägst du hier ne range ein??
Hättest du meinen Beitrag mal ganz gelesen und nicht nach dem ersten Satz bereits mit deinen Hasstiraden begonnen, wäre dir vielleicht auch aufgefallen, dass ich durchaus einen _möglichen_ Lösungsansatz genannt habe (und später noch einen weiteren).
Es gibt aber nunmal keine _echte_ Lösung für dieses Problem und genau das habe ich auch gesagt ("wirkliche"). Es wäre eher gefährlich zu behaupten es gibt einen absoluten Schutz, dass ist nämlich nur ein Trugschluss.
Wenn du heute Asien sperrst kommt morgen Eurasien dran, übermorgen Amerika und nächste Woche sperrt man sich selbst aus, weil ein Hacker einen gehijackten PC im eigenen Netzwerk als Angrifss-Proxy nimmt.
Grüße
Max
Es gibt aber nunmal keine _echte_ Lösung für dieses Problem und genau das habe ich auch gesagt ("wirkliche"). Es wäre eher gefährlich zu behaupten es gibt einen absoluten Schutz, dass ist nämlich nur ein Trugschluss.
Wenn du heute Asien sperrst kommt morgen Eurasien dran, übermorgen Amerika und nächste Woche sperrt man sich selbst aus, weil ein Hacker einen gehijackten PC im eigenen Netzwerk als Angrifss-Proxy nimmt.
Grüße
Max
Naaaaaaa Jungs,
ich merke schon, dass das ein Thema ist, was nicht gerade für Begeisterung sorgt. Trotzdem sollten wir unsere Probleme untereinander vielleicht woanders klären. Wollte keinen "Streit" entfachen. Bisher bin ich für jeden geposteten Beitrag dankbar.
@lonesome
Noch mal ne Frage zur hosts.deny. Beschränkt die sich nur auf direkte Zugriffsversuche des Systems oder gelten die Beschränkungen auch übergreifend (was den apache angeht)?
Gruß,
Knut
ich merke schon, dass das ein Thema ist, was nicht gerade für Begeisterung sorgt. Trotzdem sollten wir unsere Probleme untereinander vielleicht woanders klären. Wollte keinen "Streit" entfachen. Bisher bin ich für jeden geposteten Beitrag dankbar.
@lonesome
Noch mal ne Frage zur hosts.deny. Beschränkt die sich nur auf direkte Zugriffsversuche des Systems oder gelten die Beschränkungen auch übergreifend (was den apache angeht)?
Gruß,
Knut
Kleiner Nachtrag...
@dog
Dieser Link hier http://www.iana.org/assignments/ipv4-addr ... hat auf jedenfall geholfen. Den ein Vergleich mit meiner Log datei ergab, das sich die Datenbank auf einen sehr aktuellen befindet
@dog
Dieser Link hier http://www.iana.org/assignments/ipv4-addr ... hat auf jedenfall geholfen. Den ein Vergleich mit meiner Log datei ergab, das sich die Datenbank auf einen sehr aktuellen befindet
Moin @ll,
ich wollte euch nur mitteilen, dass ich aus euren Ideen eine Lösung erarbeitet habe. Ich habe einfach einen script geschrieben, der alle 10 min meine error logs vom Apache ausliest und die die IP-Adresse des "Angreifers" mittels iptables sperrt.
Bsp.: Für den Onlinescanner DFIND sieht das ganze so aus:
Ein kurzer check, zeigt auch, dass das ganze funktioniert.
Ausschnitt iptables -L:
Somit habe ich sichergestellt, dass
a) ...ich nicht ganze Blöcks von ip-adressen sperren muss.
b) ...sperrliste von IP-Adressen nicht aufwendig pflegen muss.
dürfte sich damit dann auch erledigt haben.
Ich danke nochmal für eure zahlreichen Ideen und schnelle Antworten @admin-kollegen
ich wollte euch nur mitteilen, dass ich aus euren Ideen eine Lösung erarbeitet habe. Ich habe einfach einen script geschrieben, der alle 10 min meine error logs vom Apache ausliest und die die IP-Adresse des "Angreifers" mittels iptables sperrt.
Bsp.: Für den Onlinescanner DFIND sieht das ganze so aus:
#!/bin/sh
## IP-Adressen, welche mit DFIND scannen, blocken.
for ip in `cat /opt/lampp/logs/web_de_error_log |grep w00tw00t | awk '{print $8}' | sed 's/]//g' | sort -ug` ; do
countoff=$[$countoff+1]
countwoot=$[$countwoot+1]
/sbin/iptables -I INPUT -s $ip -j DROP
/sbin/iptables -I OUTPUT -s $ip -j DROP
## IP-Adressen, welche mit DFIND scannen, blocken.
for ip in `cat /opt/lampp/logs/web_de_error_log |grep w00tw00t | awk '{print $8}' | sed 's/]//g' | sort -ug` ; do
countoff=$[$countoff+1]
countwoot=$[$countwoot+1]
/sbin/iptables -I INPUT -s $ip -j DROP
/sbin/iptables -I OUTPUT -s $ip -j DROP
Ein kurzer check, zeigt auch, dass das ganze funktioniert.
Ausschnitt iptables -L:
DROP 0 -- nip-121-0-0-0.onqnetworks.net/8 anywhere
Somit habe ich sichergestellt, dass
a) ...ich nicht ganze Blöcks von ip-adressen sperren muss.
b) ...sperrliste von IP-Adressen nicht aufwendig pflegen muss.
von Dog: ...weil ein Hacker einen gehijackten PC im eigenen Netzwerk als Angrifss-Proxy nimmt.
dürfte sich damit dann auch erledigt haben.
Ich danke nochmal für eure zahlreichen Ideen und schnelle Antworten @admin-kollegen
Dann hast Du meinen Kommentar nicht genau genug gelesen...
fail2ban macht das schon immer, mit dem Unterschied, auch dynamisch und besser...
Lonesome Walker
fail2ban macht das schon immer, mit dem Unterschied, auch dynamisch und besser...
Lonesome Walker
Dann hast Du meinen Kommentar nicht genau genug gelesen...
fail2ban macht das schon immer, mit dem Unterschied, auch dynamisch und besser...
Schon, aber ich habe doch nur sehr begrenzte Ressourcen. Und du meintes, für fail2ban bräuchte ich min 2GB. Hab ich aber nich
