Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Projekt-Hosting: Tagelanger DDoS…

Vor ganz China blocken?

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Vor ganz China blocken?

    Autor: Wimmmmmmmmy 30.03.15 - 14:13

    Oh nun bin ich neugierig. Wie bekommt man das hin ;-)

    Ich würde gerne mancmal mich vor Russland, Polen und auch China direkt abblocken.

    Ständig kommen aus den Regionen Angriffe auf meiner 22. Es kann zwar nichts passieren, trotzdem nerven ständig die logs darüber.

    Als ich mal versucht habe ganze IP-Blöcke auszufiltern, sagte irgendwann der IP-Filter/iptables schluss jetzt. Es wird zuviel :-(

  2. Re: Vor ganz China blocken?

    Autor: gaelic 30.03.15 - 14:16

    Hab ich auch aufm ssh Port. Und ich hab auch nur den offen, alles andere ist ja mittlerweile fast fahrlässig.
    Ich blocke dauerhaft nach dem 3. erfolglosen Anmeldeversuch, dennoch jeden Tag xxx neue Versuche aus dieser IP Region. Bin schon gespannt wie das mit IPv6 dann laufen wird :P

  3. Re: Vor ganz China blocken?

    Autor: Sharra 30.03.15 - 14:22

    Wie wärs, wenn du dir von der IANA die Auskunft holst, welche ip-Ranges dem Eurasischen Block zugeteilt wurden, und du einfach diese komplette Range sperrst? Ich vermute mal schwer, du wirst keine Angebote von dort nutzen, und kannst somit die kompletten Kontinentalblöcke einfach ausfiltern.

  4. Re: Vor ganz China blocken?

    Autor: Tantalus 30.03.15 - 14:27

    Wimmmmmmmmy schrieb:
    --------------------------------------------------------------------------------
    > Als ich mal versucht habe ganze IP-Blöcke auszufiltern, sagte irgendwann
    > der IP-Filter/iptables schluss jetzt. Es wird zuviel :-(

    Warum gehst Du dann nicht den umgekehrten Weg über eine Whitelist? Du wirst doch bestimmt wissen, über welche Provider Du i.d.R. auf Deinen SSH zugreifst.

    Gruß
    Tantalus

    ___________________________

    Man sollte sich die Ruhe und Nervenstärke eines Stuhles zulegen. Der muss auch mit jedem Arsch klarkommen.

  5. Re: Vor ganz China blocken?

    Autor: Wimmmmmmmmy 30.03.15 - 14:44

    Tantalus schrieb:
    --------------------------------------------------------------------------------
    > Wimmmmmmmmy schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Als ich mal versucht habe ganze IP-Blöcke auszufiltern, sagte irgendwann
    > > der IP-Filter/iptables schluss jetzt. Es wird zuviel :-(
    >
    > Warum gehst Du dann nicht den umgekehrten Weg über eine Whitelist? Du wirst
    > doch bestimmt wissen, über welche Provider Du i.d.R. auf Deinen SSH
    > zugreifst.


    Das hatte ich früher. Doch meine Provider halten sich nicht so daran. Musste das aufgeben.
    Portwechsel ging auch nicht gut, oft werden manchmal untypische Ports gesperrt.
    Und die hier o.g. Autosperre war auch leider zuvoll am ende.

    Entwede lebe ich mit den Massenlogs oder sperre die drei nervenden Länder ggg.


    Technisch würde es mich auf jedenfall interessieren, wie die einfach so ganz China ausgesperrt haben.

  6. Re: Vor ganz China blocken?

    Autor: MrCrankHank 30.03.15 - 15:30

    Es gibt für iptables ein geoip modul, benutzte ich schon länger. Damit kann man komplette länder rausfiltern oder nur bestimmte zulassen.
    Das Modul ist Teil einer Erweiterung und nicht im Kernel vorhanden, muss also selbst kompiliert werden.

    Eine andere Möglichkeit um seeeehr viele IPs zu filtern bietet ipset in Kombination mit iptables.

    http://ipset.netfilter.org/
    https://open-admin.de/howto/laender-mittels-iptables-aussperren/

  7. Re: Vor ganz China blocken?

    Autor: Cyberlink 30.03.15 - 15:32

    Du kannst das relativ einfach mit iptables und einer geoip Datenbank realisieren.

    => http://www.wipmania.com/en/blog/geoip-for-iptables/

    Kostenlose DBs haben meist nur die Länder ISOs drin, die kostenpflichtigen dann auch Kontinente und Regionen.

    Ein Beispiel einer Whitelist:
    ##############################################################################
    # GEOIP

    -N GEODROP
    # Allow private network ranges
    -A GEODROP -s 10.0.0.0/8 -j RETURN
    -A GEODROP -s 172.16.0.0/12 -j RETURN
    -A GEODROP -s 192.168.0.0/16 -j RETURN

    # Allow switzerland,lichtenstein and all european countries
    -A GEODROP -m geoip --src-cc EU -j RETURN
    -A GEODROP -m geoip --src-cc BE -j RETURN
    -A GEODROP -m geoip --src-cc BG -j RETURN
    -A GEODROP -m geoip --src-cc DK -j RETURN
    -A GEODROP -m geoip --src-cc DE -j RETURN
    -A GEODROP -m geoip --src-cc EE -j RETURN
    -A GEODROP -m geoip --src-cc FI -j RETURN
    -A GEODROP -m geoip --src-cc FR -j RETURN
    -A GEODROP -m geoip --src-cc GR -j RETURN
    -A GEODROP -m geoip --src-cc IE -j RETURN
    -A GEODROP -m geoip --src-cc IT -j RETURN
    -A GEODROP -m geoip --src-cc HR -j RETURN
    -A GEODROP -m geoip --src-cc LV -j RETURN
    -A GEODROP -m geoip --src-cc LT -j RETURN
    -A GEODROP -m geoip --src-cc LU -j RETURN
    -A GEODROP -m geoip --src-cc MT -j RETURN
    -A GEODROP -m geoip --src-cc NL -j RETURN
    -A GEODROP -m geoip --src-cc AT -j RETURN
    -A GEODROP -m geoip --src-cc PL -j RETURN
    -A GEODROP -m geoip --src-cc PT -j RETURN
    -A GEODROP -m geoip --src-cc RO -j RETURN
    -A GEODROP -m geoip --src-cc SE -j RETURN
    -A GEODROP -m geoip --src-cc SK -j RETURN
    -A GEODROP -m geoip --src-cc ES -j RETURN
    -A GEODROP -m geoip --src-cc CZ -j RETURN
    -A GEODROP -m geoip --src-cc HU -j RETURN
    -A GEODROP -m geoip --src-cc GB -j RETURN
    -A GEODROP -m geoip --src-cc CH -j RETURN
    -A GEODROP -m geoip --src-cc LI -j RETURN
    -A GEODROP -m geoip --src-cc CY -j RETURN
    -A GEODROP -m geoip --src-cc SI -j RETURN

    # Allow norway
    -A GEODROP -m geoip --src-cc NO -j RETURN

    # Allow usa,canada,australia and new zealand
    -A GEODROP -m geoip --src-cc US -j RETURN
    -A GEODROP -m geoip --src-cc CA -j RETURN
    -A GEODROP -m geoip --src-cc AU -j RETURN
    -A GEODROP -m geoip --src-cc NZ -j RETURN

    # Log and Drop Requests from unsave contries
    -A GEODROP -j LOG --log-prefix "GEODROP "
    -A GEODROP -j REJECT --reject-with icmp-host-prohibited

    ###############################################################################
    # FORWARD CHAIN

    -A FORWARD -i eth0 -j GEODROP

  8. Re: Vor ganz China blocken?

    Autor: elgooG 30.03.15 - 16:10

    MrCrankHank schrieb:
    --------------------------------------------------------------------------------
    > Es gibt für iptables ein geoip modul, benutzte ich schon länger. Damit kann
    > man komplette länder rausfiltern oder nur bestimmte zulassen.
    > Das Modul ist Teil einer Erweiterung und nicht im Kernel vorhanden, muss
    > also selbst kompiliert werden.
    >
    > Eine andere Möglichkeit um seeeehr viele IPs zu filtern bietet ipset in
    > Kombination mit iptables.
    >
    > ipset.netfilter.org
    > open-admin.de

    Ebenfalls empfehlenswert ist übrigens: http://www.ipdeny.com/ipblocks/

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite

  9. Re: Vor ganz China blocken?

    Autor: sehr_interessant 30.03.15 - 16:17

    Der Angriff kommt auch von Clients außerhalb Chinas.

    Die beste Gegenwehr wäre wohl, den Traffic zu multiplizieren und auf chinesische Behördenseiten weiterzuleiten.

  10. Re: Vor ganz China blocken?

    Autor: elgooG 30.03.15 - 16:26

    Ich wusste gar nicht, dass Firewall-Regeln derart rassistisch sein können. ;D

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite

  11. Re: Vor ganz China blocken?

    Autor: azeu 30.03.15 - 16:33

    Du könntest Deinen SSH Server einfach auf einen anderen Port hören lassen z.B.

    ... OVER ...

  12. Re: Vor ganz China blocken?

    Autor: Moe479 30.03.15 - 16:50

    logrotate hilft, damit die dinger nicht ewig anwachsen, ansonsten das logging abschalten, wenn du dir sicher bist, dass alles sicher ist/ du es nicht brauchst ...

    die vielen 404-quittierten zugriffe/scans kommen i.d.r von bots, die z.b. versuchen ne alte pma version zu finden(auch ne neuere sollte man nicht ohne weiteres dem www öffnen), und nen angriff über ne chinesische ip muss nicht zwangsläufig nen chniesischen ursprung haben ... dort gibt es nur die meisten rechner ;)

  13. Re: Vor ganz China blocken?

    Autor: Moe479 30.03.15 - 16:53

    wenn, dann sind sie national ...

  14. Re: Vor ganz China blocken?

    Autor: fuzzy 30.03.15 - 17:36

    Wenn es für IPTables zu viel wird, muss eben IPSet einspringen. ;)
    Du solltest die Netze natürlich auch so groß wie möglich fassen.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  15. Re: Vor ganz China blocken?

    Autor: narea 30.03.15 - 20:47

    Wimmmmmmmmy schrieb:
    --------------------------------------------------------------------------------
    > Oh nun bin ich neugierig. Wie bekommt man das hin ;-)
    >
    > Ich würde gerne mancmal mich vor Russland, Polen und auch China direkt
    > abblocken.
    >
    > Ständig kommen aus den Regionen Angriffe auf meiner 22. Es kann zwar nichts
    > passieren, trotzdem nerven ständig die logs darüber.

    Und warum hast du ssh auf 22? Mach es halt auf einen anderen der 65k ports. Bei mir kommt nix an.

  16. Re: Vor ganz China blocken?

    Autor: MrCrankHank 30.03.15 - 21:34

    Was bringt das?

    Die Bots können gern versuchen sich da anzumelden. Public key authentication und gut ist.

    Ich persönlich halte Fail2Ban und Port verlegen für security through obscurity.

    Verstehe nicht was an den Logs so schlimm ist. Mit grep kann man ganz gut die Spreu vom Weizen trennen,



    1 mal bearbeitet, zuletzt am 30.03.15 21:36 durch MrCrankHank.

  17. Re: Vor ganz China blocken?

    Autor: ConiKost 30.03.15 - 22:24

    MrCrankHank schrieb:
    --------------------------------------------------------------------------------
    > Was bringt das?
    >
    > Die Bots können gern versuchen sich da anzumelden. Public key
    > authentication und gut ist.
    >
    > Ich persönlich halte Fail2Ban und Port verlegen für security through
    > obscurity.
    >
    > Verstehe nicht was an den Logs so schlimm ist. Mit grep kann man ganz gut
    > die Spreu vom Weizen trennen,

    Warum? Port verlegen sehe ich nicht als Sicherheitsgewinn. Es hält einfach die Logs leer. Seit mein SSH auf einem Port > 1024 liegt, werden meine Logs nicht mehr zugemüllt.. Hat IMHO rein garnix mit security through obscurity zu tun.

  18. Re: Vor ganz China blocken?

    Autor: narea 31.03.15 - 00:42

    MrCrankHank schrieb:
    --------------------------------------------------------------------------------
    > Was bringt das?
    >
    > Die Bots können gern versuchen sich da anzumelden. Public key
    > authentication und gut ist.
    >
    > Ich persönlich halte Fail2Ban und Port verlegen für security through
    > obscurity.
    >
    > Verstehe nicht was an den Logs so schlimm ist. Mit grep kann man ganz gut
    > die Spreu vom Weizen trennen,

    Für was Ressourcen/CPU mit Logs verschwenden, wenn es problemlos ohne geht?
    Zumal, falls irgendwann mal irgendeine Lücke in ssh bekannt werden würde, hast du mit 22 Probleme; mit 51753 nicht, da es einfach niemand scannen wird, da es eben tausende andere einfachere Ziele gibt.

  19. Re: Vor ganz China blocken?

    Autor: Smile 31.03.15 - 01:10

    der Tipp mit den ip Tablets ist schon Gold wert.

    Hier gibt's auch ne Step für Step Anleitung: http://sven-goessling.de/19/02/2015/centos-6-5-server-mit-iptables-und-geoip-schuetzen/

  20. Re: Vor ganz China blocken?

    Autor: der_wahre_hannes 31.03.15 - 08:11

    narea schrieb:
    --------------------------------------------------------------------------------
    > MrCrankHank schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Was bringt das?
    > >
    > > Die Bots können gern versuchen sich da anzumelden. Public key
    > > authentication und gut ist.
    > >
    > > Ich persönlich halte Fail2Ban und Port verlegen für security through
    > > obscurity.
    > >
    > > Verstehe nicht was an den Logs so schlimm ist. Mit grep kann man ganz
    > gut
    > > die Spreu vom Weizen trennen,
    >
    > Für was Ressourcen/CPU mit Logs verschwenden, wenn es problemlos ohne
    > geht?

    Wenn deine Ressourcen durch das Schreiben von Logs so sehr in Mitleidenschaft gezogen werden, dass das viele Loggen tatsächlich ein Problem ist, dann hat dein System mMn ganz andere Probleme als das, dass viel geloggt wird...

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. EnBW Energie Baden-Württemberg AG Holdin, Karlsruhe
  2. BWI GmbH, bundesweit
  3. we.CONECT Global Leaders GmbH, Berlin-Kreuzberg,Berlin
  4. OMICRON electronics GmbH, Klaus, Bodenseeregion

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 259€ + Versand oder kostenlose Marktabholung
  2. 274,00€
  3. 114,99€ (Release am 5. Dezember)
  4. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


Ryzen 3900X/3700X im Test: AMDs 7-nm-CPUs lassen Intel hinter sich
Ryzen 3900X/3700X im Test
AMDs 7-nm-CPUs lassen Intel hinter sich

Das beste Prozessor-Design seit dem Athlon 64: Mit den Ryzen 3000 alias Matisse bringt AMD sehr leistungsstarke und Energie-effiziente CPUs zu niedrigen Preisen in den Handel. Obendrein laufen die auch auf zwei Jahre alten sowie günstigen Platinen mit schnellem DDR4-Speicher.
Ein Test von Marc Sauter

  1. Ryzen 3000 BIOS-Updates schalten PCIe Gen4 für ältere Boards frei
  2. Mehr Performance Windows 10 v1903 hat besseren Ryzen-Scheduler
  3. Picasso für Sockel AM4 AMD verlötet Ryzen 3400G für flottere iGPU

Dr. Mario World im Test: Spielspaß für Privatpatienten
Dr. Mario World im Test
Spielspaß für Privatpatienten

Schlimm süchtig machendes Gameplay, zuckersüße Grafik im typischen Nintendo-Stil und wunderbare Dudelmusik: Der Kampf von Dr. Mario World gegen böse Viren ist ein Mobile Game vom Feinsten - allerdings nur für Spieler mit gesunden Nerven oder tiefen Taschen.
Von Peter Steinlechner

  1. Mobile-Games-Auslese Ein Wunderjunge und dreimal kostenloser Mobilspaß
  2. Mobile-Games-Auslese Magischer Dieb trifft mogelnden Doktor
  3. Hyper Casual Games 30 Sekunden spielen, 30 Sekunden Werbung

FPM-Sicherheitslücke: Daten exfiltrieren mit Facebooks HHVM
FPM-Sicherheitslücke
Daten exfiltrieren mit Facebooks HHVM

Server für den sogenannten FastCGI Process Manager (FPM) können, wenn sie übers Internet erreichbar sind, unbefugten Zugriff auf Dateien eines Systems geben. Das betrifft vor allem HHVM von Facebook, bei PHP sind die Risiken geringer.
Eine Exklusivmeldung von Hanno Böck

  1. HHVM Facebooks PHP-Alternative erscheint ohne PHP

  1. Streaming: Netflix' Kundenwachstum geht zurück
    Streaming
    Netflix' Kundenwachstum geht zurück

    Netflix hat im zweiten Quartal die eigenen Erwartungen verfehlt. Auch der Gewinn fiel niedriger aus als im Vorjahresquartal.

  2. Coradia iLint: Alstoms Brennstoffzellenzüge bewähren sich
    Coradia iLint
    Alstoms Brennstoffzellenzüge bewähren sich

    Zwei Züge, 100.000 Kilometer, keine Probleme: Nach zehn Monaten regulärem Einsatz in Niedersachsen ist das französische Unternehmen Alstom zufrieden mit seinen Brennstoffzellenzügen.

  3. Matternet: Schweizer Post pausiert Drohnenlieferungen nach Absturz
    Matternet
    Schweizer Post pausiert Drohnenlieferungen nach Absturz

    Blutkonserven oder Gewebeproben müssen unter Umständen schnell zu ihrem Bestimmungsort gebracht werden. Die Schweizer Post setzt für solche Transporte Drohnen ein. Doch nach vielen problemlosen Flüge ist ein Copter abgestürzt. Das Drohnenprogramm wurde daraufhin vorerst gestoppt.


  1. 23:00

  2. 19:06

  3. 16:52

  4. 15:49

  5. 14:30

  6. 14:10

  7. 13:40

  8. 13:00