knut4linux
Goto Top

öffentliche IP-Adressen aus asiatischen Raum sperren

Öffentliche IP-Adressen aus dem asiatischen Raum mittels IP-tables sperren, Möglich?

Hey @ll,

seit kurzem stelle ich vermehrt zugriffsversuche aus dem asiatischen Raum fest. Die Zugriffsversuche beschränken sich nur auf das WEB. Der Web-server ist eine virtuelle Maschine. Die einzigen Dienste, die darauf laufen, sind http, ntp und ein firwallscript mittels iptables.

An sich kann ich über die versuche ja nur schmunzeln, aber es nervt mich, dass mein log-files permanent von diesem "Misst" voll geschrieben werden. Klar, jetzt könnte ich das log'n einfach abstellen und habe meine Ruhe, aber ich will schon wissen, was auf der Kiste abgeht und wo vor allem auch noch Sicherheitslücken sind.

Daher wollte ich einfach nur mal Fragen, ob es ne Möglichkeit gibt, einen öffenlichen Adressraum zu sperren oder mittels Prerouting ins irgendwo routen?? Wenn ja, woher weiß ich, welche IP-Adressen aus Asien geroutet werden. Jede IP-Adresse mittels trace route zu Verfolgen finde ich sehr Zeitaufwendig und auf Grund der Masse an IP's unzumutbar.


Vielen Dank im Voraus für eure Ideen.

Gruß,
Knut

Content-ID: 104221

Url: https://administrator.de/forum/oeffentliche-ip-adressen-aus-asiatischen-raum-sperren-104221.html

Ausgedruckt am: 22.12.2024 um 15:12 Uhr

Alphavil
Alphavil 16.12.2008 um 15:38:23 Uhr
Goto Top
Lass mich raten, 99 % der IP-Adressen kommen aus China ?

Es gibt eine Möglichkeit, allerdings bin ich mir nicht mehr sicher wie das ging. Ich frag da mal bei meinem Chef nach


Gruß André
knut4linux
knut4linux 16.12.2008 um 15:53:34 Uhr
Goto Top
Lass mich raten, 99 % der IP-Adressen kommen aus China ?

eigentlich sogar gefühlte 300%

Nun bin ich mal gespannt.

Schönen Feierabend an alle erstmal.

Gruß, Knut
dog
dog 16.12.2008 um 17:28:23 Uhr
Goto Top
Wenn du die wirklich sperren willst hast du keine wirkliche Chance.
Die beste Lösung ist es eine Geolocation-Database zu verwenden, aber die sind oft veraltet oder ungenau.

Eine solche Datenbank findest du z.B. hier: http://ip-to-country.webhosting.info/

Grüße

Max
16568
16568 16.12.2008 um 18:22:49 Uhr
Goto Top
? ? ?

Sach ma, wie geil ist das denn?

Klar geht das, hab ich auch schon gemacht (mach ich eigentlich bei fast allen meinen Servern, es sei denn, der Kunde kommuniziert mit "drüben"...);
einfach die entsprechenden IP-Ranges sperren, feddisch.

Da Du ja schon iptables hast, ein Kinderspiel.


Lonesome Walker
dog
dog 16.12.2008 um 20:29:46 Uhr
Goto Top
Klar geht das

Sicher, meine Aussage bezog sich auch darauf das es keine zuverlässige Set-It-And-Forget-It-Lösung gibt.
Eine Sperrliste von heute kann morgen schon veraltet sein, weshalb man da immer hinterher sein muss.

Als Alternative zur Gelocation-Datenbank ist mir für einen ganzen Kontinent auch noch die Zuweisung von IANA eingefallen: http://www.iana.org/numbers/. Die Liste ist dann etwas kleiner.

Grüße

Max
knut4linux
knut4linux 17.12.2008 um 07:56:12 Uhr
Goto Top
Moin Jungs,

erstmal vielen Danke für euere schnellen Antworten. So, Anhand der Links von dog weiß ich zumindest schon mal, welche IP Bereiche für den asiatischen Raum reserviert sind. Danke an dieser Stelle face-wink

@lonesome Walker

Setzt du da jetzt einfach ein drop auf die IP's 058/8 usw?? Oder wie realisierst du das??

Ergo: iptables -A INPUT -s 058/8 DROP ??

Gruß,
Knut
16568
16568 17.12.2008 um 11:28:05 Uhr
Goto Top
Wieviel RAM hast Du?

Wenn Du >= 2GB hast, würde ich an Deiner Stelle fail2ban verwenden.
Default solltest Du auf DROP lassen (ja, ich weiß, das kostet RAM...)
Hat aber den Vorteil, daß die Leute, die da Zugang auf den Server begehren, das merken...
Und für die besonders Hartnäckigen empfiehlt sich dann ein Eintrag in der hosts.deny...

@dog:
zuerst Bullsh*t schreiben, und dann versuchen, sich zu verbessern, das bin ich ja bereits von Dir gewohnt...
Lieber erst nachdenken, dann posten.
Tut keinem weh, hebt aber die Qualität des Forums hier enorm...

Ganze IP-Ranges aussperren, tstststs...
Klar gehts, aber wieso kompliziert, wenns einfach auch geht...


Lonesome Walker
knut4linux
knut4linux 17.12.2008 um 11:40:47 Uhr
Goto Top
Hey Lonesome,

wenn mein script geladen wird, setze ich erstmal alles auf Drop und mache nach und nach auf.

Zu dem Speicherproblem: Es ist wie gesagt ne virtuelle Maschine mit 256 MB. Mehr wäre dan der Stelle auch zu viel, weil die Kiste nicht mehr zu tun hat als den Web-dienst zur Verfügung zu stellen.

Und für die besonders Hartnäckigen empfiehlt sich dann ein Eintrag in der hosts.deny

Das nenn ich ja mal ein richtig genialen Einfall. Auf den hätte ich ja selbst kommen können face-big-smile
Nur, wie realisierst du das dann mit der Masse der IP-Adressen?? Trägst du hier ne range ein??
dog
dog 17.12.2008 um 13:17:18 Uhr
Goto Top
Hättest du meinen Beitrag mal ganz gelesen und nicht nach dem ersten Satz bereits mit deinen Hasstiraden begonnen, wäre dir vielleicht auch aufgefallen, dass ich durchaus einen _möglichen_ Lösungsansatz genannt habe (und später noch einen weiteren).

Es gibt aber nunmal keine _echte_ Lösung für dieses Problem und genau das habe ich auch gesagt ("wirkliche"). Es wäre eher gefährlich zu behaupten es gibt einen absoluten Schutz, dass ist nämlich nur ein Trugschluss.
Wenn du heute Asien sperrst kommt morgen Eurasien dran, übermorgen Amerika und nächste Woche sperrt man sich selbst aus, weil ein Hacker einen gehijackten PC im eigenen Netzwerk als Angrifss-Proxy nimmt.

Grüße

Max
knut4linux
knut4linux 17.12.2008 um 13:29:06 Uhr
Goto Top
Naaaaaaa Jungs,
ich merke schon, dass das ein Thema ist, was nicht gerade für Begeisterung sorgt. Trotzdem sollten wir unsere Probleme untereinander vielleicht woanders klären. Wollte keinen "Streit" entfachen. Bisher bin ich für jeden geposteten Beitrag dankbar. face-big-smile


@lonesome

Noch mal ne Frage zur hosts.deny. Beschränkt die sich nur auf direkte Zugriffsversuche des Systems oder gelten die Beschränkungen auch übergreifend (was den apache angeht)?

Gruß,
Knut
knut4linux
knut4linux 17.12.2008 um 13:38:36 Uhr
Goto Top
Kleiner Nachtrag...

@dog

Dieser Link hier http://www.iana.org/assignments/ipv4-addr ... hat auf jedenfall geholfen. Den ein Vergleich mit meiner Log datei ergab, das sich die Datenbank auf einen sehr aktuellen befindet face-smile
knut4linux
knut4linux 19.12.2008 um 08:31:00 Uhr
Goto Top
Moin @ll,

ich wollte euch nur mitteilen, dass ich aus euren Ideen eine Lösung erarbeitet habe. Ich habe einfach einen script geschrieben, der alle 10 min meine error logs vom Apache ausliest und die die IP-Adresse des "Angreifers" mittels iptables sperrt.

Bsp.: Für den Onlinescanner DFIND sieht das ganze so aus:

#!/bin/sh

## IP-Adressen, welche mit DFIND scannen, blocken.

for ip in `cat /opt/lampp/logs/web_de_error_log |grep w00tw00t | awk '{print $8}' | sed 's/]//g' | sort -ug` ; do
countoff=$[$countoff+1]
countwoot=$[$countwoot+1]
/sbin/iptables -I INPUT -s $ip -j DROP
/sbin/iptables -I OUTPUT -s $ip -j DROP

Ein kurzer check, zeigt auch, dass das ganze funktioniert.

Ausschnitt iptables -L:

DROP 0 -- nip-121-0-0-0.onqnetworks.net/8 anywhere

Somit habe ich sichergestellt, dass
a) ...ich nicht ganze Blöcks von ip-adressen sperren muss.
b) ...sperrliste von IP-Adressen nicht aufwendig pflegen muss.

von Dog: ...weil ein Hacker einen gehijackten PC im eigenen Netzwerk als Angrifss-Proxy nimmt.

dürfte sich damit dann auch erledigt haben.

Ich danke nochmal für eure zahlreichen Ideen und schnelle Antworten @admin-kollegen face-big-smile
16568
16568 19.12.2008 um 11:04:16 Uhr
Goto Top
Dann hast Du meinen Kommentar nicht genau genug gelesen...

fail2ban macht das schon immer, mit dem Unterschied, auch dynamisch und besser...


Lonesome Walker
knut4linux
knut4linux 19.12.2008 um 11:37:41 Uhr
Goto Top
Dann hast Du meinen Kommentar nicht genau genug gelesen...

fail2ban macht das schon immer, mit dem Unterschied, auch dynamisch und besser...

Schon, aber ich habe doch nur sehr begrenzte Ressourcen. Und du meintes, für fail2ban bräuchte ich min 2GB. Hab ich aber nich face-sad