Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Projekt-Hosting: Tagelanger DDoS…

Vor ganz China blocken?

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Vor ganz China blocken?

    Autor: Wimmmmmmmmy 30.03.15 - 14:13

    Oh nun bin ich neugierig. Wie bekommt man das hin ;-)

    Ich würde gerne mancmal mich vor Russland, Polen und auch China direkt abblocken.

    Ständig kommen aus den Regionen Angriffe auf meiner 22. Es kann zwar nichts passieren, trotzdem nerven ständig die logs darüber.

    Als ich mal versucht habe ganze IP-Blöcke auszufiltern, sagte irgendwann der IP-Filter/iptables schluss jetzt. Es wird zuviel :-(

  2. Re: Vor ganz China blocken?

    Autor: gaelic 30.03.15 - 14:16

    Hab ich auch aufm ssh Port. Und ich hab auch nur den offen, alles andere ist ja mittlerweile fast fahrlässig.
    Ich blocke dauerhaft nach dem 3. erfolglosen Anmeldeversuch, dennoch jeden Tag xxx neue Versuche aus dieser IP Region. Bin schon gespannt wie das mit IPv6 dann laufen wird :P

  3. Re: Vor ganz China blocken?

    Autor: Sharra 30.03.15 - 14:22

    Wie wärs, wenn du dir von der IANA die Auskunft holst, welche ip-Ranges dem Eurasischen Block zugeteilt wurden, und du einfach diese komplette Range sperrst? Ich vermute mal schwer, du wirst keine Angebote von dort nutzen, und kannst somit die kompletten Kontinentalblöcke einfach ausfiltern.

  4. Re: Vor ganz China blocken?

    Autor: Tantalus 30.03.15 - 14:27

    Wimmmmmmmmy schrieb:
    --------------------------------------------------------------------------------
    > Als ich mal versucht habe ganze IP-Blöcke auszufiltern, sagte irgendwann
    > der IP-Filter/iptables schluss jetzt. Es wird zuviel :-(

    Warum gehst Du dann nicht den umgekehrten Weg über eine Whitelist? Du wirst doch bestimmt wissen, über welche Provider Du i.d.R. auf Deinen SSH zugreifst.

    Gruß
    Tantalus

    ___________________________

    Man sollte sich die Ruhe und Nervenstärke eines Stuhles zulegen. Der muss auch mit jedem Arsch klarkommen.

  5. Re: Vor ganz China blocken?

    Autor: Wimmmmmmmmy 30.03.15 - 14:44

    Tantalus schrieb:
    --------------------------------------------------------------------------------
    > Wimmmmmmmmy schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Als ich mal versucht habe ganze IP-Blöcke auszufiltern, sagte irgendwann
    > > der IP-Filter/iptables schluss jetzt. Es wird zuviel :-(
    >
    > Warum gehst Du dann nicht den umgekehrten Weg über eine Whitelist? Du wirst
    > doch bestimmt wissen, über welche Provider Du i.d.R. auf Deinen SSH
    > zugreifst.


    Das hatte ich früher. Doch meine Provider halten sich nicht so daran. Musste das aufgeben.
    Portwechsel ging auch nicht gut, oft werden manchmal untypische Ports gesperrt.
    Und die hier o.g. Autosperre war auch leider zuvoll am ende.

    Entwede lebe ich mit den Massenlogs oder sperre die drei nervenden Länder ggg.


    Technisch würde es mich auf jedenfall interessieren, wie die einfach so ganz China ausgesperrt haben.

  6. Re: Vor ganz China blocken?

    Autor: MrCrankHank 30.03.15 - 15:30

    Es gibt für iptables ein geoip modul, benutzte ich schon länger. Damit kann man komplette länder rausfiltern oder nur bestimmte zulassen.
    Das Modul ist Teil einer Erweiterung und nicht im Kernel vorhanden, muss also selbst kompiliert werden.

    Eine andere Möglichkeit um seeeehr viele IPs zu filtern bietet ipset in Kombination mit iptables.

    http://ipset.netfilter.org/
    https://open-admin.de/howto/laender-mittels-iptables-aussperren/

  7. Re: Vor ganz China blocken?

    Autor: Cyberlink 30.03.15 - 15:32

    Du kannst das relativ einfach mit iptables und einer geoip Datenbank realisieren.

    => http://www.wipmania.com/en/blog/geoip-for-iptables/

    Kostenlose DBs haben meist nur die Länder ISOs drin, die kostenpflichtigen dann auch Kontinente und Regionen.

    Ein Beispiel einer Whitelist:
    ##############################################################################
    # GEOIP

    -N GEODROP
    # Allow private network ranges
    -A GEODROP -s 10.0.0.0/8 -j RETURN
    -A GEODROP -s 172.16.0.0/12 -j RETURN
    -A GEODROP -s 192.168.0.0/16 -j RETURN

    # Allow switzerland,lichtenstein and all european countries
    -A GEODROP -m geoip --src-cc EU -j RETURN
    -A GEODROP -m geoip --src-cc BE -j RETURN
    -A GEODROP -m geoip --src-cc BG -j RETURN
    -A GEODROP -m geoip --src-cc DK -j RETURN
    -A GEODROP -m geoip --src-cc DE -j RETURN
    -A GEODROP -m geoip --src-cc EE -j RETURN
    -A GEODROP -m geoip --src-cc FI -j RETURN
    -A GEODROP -m geoip --src-cc FR -j RETURN
    -A GEODROP -m geoip --src-cc GR -j RETURN
    -A GEODROP -m geoip --src-cc IE -j RETURN
    -A GEODROP -m geoip --src-cc IT -j RETURN
    -A GEODROP -m geoip --src-cc HR -j RETURN
    -A GEODROP -m geoip --src-cc LV -j RETURN
    -A GEODROP -m geoip --src-cc LT -j RETURN
    -A GEODROP -m geoip --src-cc LU -j RETURN
    -A GEODROP -m geoip --src-cc MT -j RETURN
    -A GEODROP -m geoip --src-cc NL -j RETURN
    -A GEODROP -m geoip --src-cc AT -j RETURN
    -A GEODROP -m geoip --src-cc PL -j RETURN
    -A GEODROP -m geoip --src-cc PT -j RETURN
    -A GEODROP -m geoip --src-cc RO -j RETURN
    -A GEODROP -m geoip --src-cc SE -j RETURN
    -A GEODROP -m geoip --src-cc SK -j RETURN
    -A GEODROP -m geoip --src-cc ES -j RETURN
    -A GEODROP -m geoip --src-cc CZ -j RETURN
    -A GEODROP -m geoip --src-cc HU -j RETURN
    -A GEODROP -m geoip --src-cc GB -j RETURN
    -A GEODROP -m geoip --src-cc CH -j RETURN
    -A GEODROP -m geoip --src-cc LI -j RETURN
    -A GEODROP -m geoip --src-cc CY -j RETURN
    -A GEODROP -m geoip --src-cc SI -j RETURN

    # Allow norway
    -A GEODROP -m geoip --src-cc NO -j RETURN

    # Allow usa,canada,australia and new zealand
    -A GEODROP -m geoip --src-cc US -j RETURN
    -A GEODROP -m geoip --src-cc CA -j RETURN
    -A GEODROP -m geoip --src-cc AU -j RETURN
    -A GEODROP -m geoip --src-cc NZ -j RETURN

    # Log and Drop Requests from unsave contries
    -A GEODROP -j LOG --log-prefix "GEODROP "
    -A GEODROP -j REJECT --reject-with icmp-host-prohibited

    ###############################################################################
    # FORWARD CHAIN

    -A FORWARD -i eth0 -j GEODROP

  8. Re: Vor ganz China blocken?

    Autor: elgooG 30.03.15 - 16:10

    MrCrankHank schrieb:
    --------------------------------------------------------------------------------
    > Es gibt für iptables ein geoip modul, benutzte ich schon länger. Damit kann
    > man komplette länder rausfiltern oder nur bestimmte zulassen.
    > Das Modul ist Teil einer Erweiterung und nicht im Kernel vorhanden, muss
    > also selbst kompiliert werden.
    >
    > Eine andere Möglichkeit um seeeehr viele IPs zu filtern bietet ipset in
    > Kombination mit iptables.
    >
    > ipset.netfilter.org
    > open-admin.de

    Ebenfalls empfehlenswert ist übrigens: http://www.ipdeny.com/ipblocks/

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite

  9. Re: Vor ganz China blocken?

    Autor: sehr_interessant 30.03.15 - 16:17

    Der Angriff kommt auch von Clients außerhalb Chinas.

    Die beste Gegenwehr wäre wohl, den Traffic zu multiplizieren und auf chinesische Behördenseiten weiterzuleiten.

  10. Re: Vor ganz China blocken?

    Autor: elgooG 30.03.15 - 16:26

    Ich wusste gar nicht, dass Firewall-Regeln derart rassistisch sein können. ;D

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite

  11. Re: Vor ganz China blocken?

    Autor: azeu 30.03.15 - 16:33

    Du könntest Deinen SSH Server einfach auf einen anderen Port hören lassen z.B.

    DU bist ...

  12. Re: Vor ganz China blocken?

    Autor: Moe479 30.03.15 - 16:50

    logrotate hilft, damit die dinger nicht ewig anwachsen, ansonsten das logging abschalten, wenn du dir sicher bist, dass alles sicher ist/ du es nicht brauchst ...

    die vielen 404-quittierten zugriffe/scans kommen i.d.r von bots, die z.b. versuchen ne alte pma version zu finden(auch ne neuere sollte man nicht ohne weiteres dem www öffnen), und nen angriff über ne chinesische ip muss nicht zwangsläufig nen chniesischen ursprung haben ... dort gibt es nur die meisten rechner ;)

  13. Re: Vor ganz China blocken?

    Autor: Moe479 30.03.15 - 16:53

    wenn, dann sind sie national ...

  14. Re: Vor ganz China blocken?

    Autor: fuzzy 30.03.15 - 17:36

    Wenn es für IPTables zu viel wird, muss eben IPSet einspringen. ;)
    Du solltest die Netze natürlich auch so groß wie möglich fassen.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  15. Re: Vor ganz China blocken?

    Autor: narea 30.03.15 - 20:47

    Wimmmmmmmmy schrieb:
    --------------------------------------------------------------------------------
    > Oh nun bin ich neugierig. Wie bekommt man das hin ;-)
    >
    > Ich würde gerne mancmal mich vor Russland, Polen und auch China direkt
    > abblocken.
    >
    > Ständig kommen aus den Regionen Angriffe auf meiner 22. Es kann zwar nichts
    > passieren, trotzdem nerven ständig die logs darüber.

    Und warum hast du ssh auf 22? Mach es halt auf einen anderen der 65k ports. Bei mir kommt nix an.

  16. Re: Vor ganz China blocken?

    Autor: MrCrankHank 30.03.15 - 21:34

    Was bringt das?

    Die Bots können gern versuchen sich da anzumelden. Public key authentication und gut ist.

    Ich persönlich halte Fail2Ban und Port verlegen für security through obscurity.

    Verstehe nicht was an den Logs so schlimm ist. Mit grep kann man ganz gut die Spreu vom Weizen trennen,



    1 mal bearbeitet, zuletzt am 30.03.15 21:36 durch MrCrankHank.

  17. Re: Vor ganz China blocken?

    Autor: ConiKost 30.03.15 - 22:24

    MrCrankHank schrieb:
    --------------------------------------------------------------------------------
    > Was bringt das?
    >
    > Die Bots können gern versuchen sich da anzumelden. Public key
    > authentication und gut ist.
    >
    > Ich persönlich halte Fail2Ban und Port verlegen für security through
    > obscurity.
    >
    > Verstehe nicht was an den Logs so schlimm ist. Mit grep kann man ganz gut
    > die Spreu vom Weizen trennen,

    Warum? Port verlegen sehe ich nicht als Sicherheitsgewinn. Es hält einfach die Logs leer. Seit mein SSH auf einem Port > 1024 liegt, werden meine Logs nicht mehr zugemüllt.. Hat IMHO rein garnix mit security through obscurity zu tun.

  18. Re: Vor ganz China blocken?

    Autor: narea 31.03.15 - 00:42

    MrCrankHank schrieb:
    --------------------------------------------------------------------------------
    > Was bringt das?
    >
    > Die Bots können gern versuchen sich da anzumelden. Public key
    > authentication und gut ist.
    >
    > Ich persönlich halte Fail2Ban und Port verlegen für security through
    > obscurity.
    >
    > Verstehe nicht was an den Logs so schlimm ist. Mit grep kann man ganz gut
    > die Spreu vom Weizen trennen,

    Für was Ressourcen/CPU mit Logs verschwenden, wenn es problemlos ohne geht?
    Zumal, falls irgendwann mal irgendeine Lücke in ssh bekannt werden würde, hast du mit 22 Probleme; mit 51753 nicht, da es einfach niemand scannen wird, da es eben tausende andere einfachere Ziele gibt.

  19. Re: Vor ganz China blocken?

    Autor: Smile 31.03.15 - 01:10

    der Tipp mit den ip Tablets ist schon Gold wert.

    Hier gibt's auch ne Step für Step Anleitung: http://sven-goessling.de/19/02/2015/centos-6-5-server-mit-iptables-und-geoip-schuetzen/

  20. Re: Vor ganz China blocken?

    Autor: der_wahre_hannes 31.03.15 - 08:11

    narea schrieb:
    --------------------------------------------------------------------------------
    > MrCrankHank schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Was bringt das?
    > >
    > > Die Bots können gern versuchen sich da anzumelden. Public key
    > > authentication und gut ist.
    > >
    > > Ich persönlich halte Fail2Ban und Port verlegen für security through
    > > obscurity.
    > >
    > > Verstehe nicht was an den Logs so schlimm ist. Mit grep kann man ganz
    > gut
    > > die Spreu vom Weizen trennen,
    >
    > Für was Ressourcen/CPU mit Logs verschwenden, wenn es problemlos ohne
    > geht?

    Wenn deine Ressourcen durch das Schreiben von Logs so sehr in Mitleidenschaft gezogen werden, dass das viele Loggen tatsächlich ein Problem ist, dann hat dein System mMn ganz andere Probleme als das, dass viel geloggt wird...

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Lidl Dienstleistung GmbH & Co. KG, Neckarsulm
  2. eXXcellent solutions GmbH, Ulm, München, Stuttgart, Darmstadt, Berlin
  3. ESWE Versorgungs AG, Wiesbaden
  4. SBK Siemens-Betriebskrankenkasse, München, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. The Elder Scrolls Online: Elsweyr für 15,99€, Diablo 3 Battlechest für 17,49€, Iratus...
  2. 99,00€
  3. (u. a. Acer KG241QP FHD/144 Hz für 169€ und Samsung GQ55Q70 QLED-TV für 999€)
  4. (heute u. a. iRobot Roomba 960 für 399€ statt ca. 460€ im Vergleich)


Haben wir etwas übersehen?

E-Mail an news@golem.de


IT-Arbeitsmarkt: Jobgarantie gibt es nie
IT-Arbeitsmarkt
Jobgarantie gibt es nie

Deutsche Unternehmen stellen weniger ein und entlassen mehr. Es ist zwar Jammern auf hohem Niveau, aber Fakt ist: Die Konjunktur lässt nach, was Arbeitsplätze gefährdet. Auch die von IT-Experten, die überall gesucht werden?
Ein Bericht von Peter Ilg

  1. Homeoffice Wenn der Arbeitsplatz so anonym ist wie das Internet selbst
  2. Bundesagentur für Arbeit Informatikjobs bleiben 132 Tage unbesetzt
  3. IT-Headhunter ReactJS- und PHP-Experten verzweifelt gesucht

Nachhaltigkeit: Jute im Plastik
Nachhaltigkeit
Jute im Plastik

Baustoff- und Autohersteller nutzen sie zunehmend, doch etabliert sind Verbundwerkstoffe mit Naturfasern noch lange nicht. Dabei gibt es gute Gründe, sie einzusetzen, Umweltschutz ist nur einer von vielen.
Ein Bericht von Werner Pluta

  1. Nachhaltigkeit Bauen fürs Klima
  2. Autos Elektro, Brennstoffzelle oder Diesel?
  3. Energie Wo die Wasserstoffqualität getestet wird

Hyundai Kona Elektro: Der Ausdauerläufer
Hyundai Kona Elektro
Der Ausdauerläufer

Der Hyundai Kona Elektro begeistert mit Energieeffizienz, Genauigkeit bei der Reichweitenberechnung und umfangreicher technischer Ausstattung. Nur in Sachen Emotionalität und Temperament könnte er etwas nachlegen.
Ein Praxistest von Dirk Kunde

  1. Be emobil Berliner Ladesäulen auf Verbrauchsabrechnung umgestellt
  2. ACM City Miniauto soll als Kleintransporter und Mietwagen Furore machen
  3. Startup Rivian plant elektrochromes Glasdach für seine Elektro-SUVs

  1. Spielestreaming: Cyberpunk 2077 erscheint für Stadia
    Spielestreaming
    Cyberpunk 2077 erscheint für Stadia

    Gamescom 2019 Google hat das Rollenspiel Cyberpunk 2077 für Stadia eingekauft - leider ohne zu verraten, ob die Raytracing-Version gestreamt wird. Auch der Landwirtschaft-Simulator 2019 und Borderlands 3 sollen über die neue Plattform erscheinen.

  2. Magentagaming: Auch die Telekom startet einen Cloud-Gaming-Dienst
    Magentagaming
    Auch die Telekom startet einen Cloud-Gaming-Dienst

    Google Stadia, Blade Shadow und jetzt Magentagaming: Die Deutsche Telekom macht beim derzeit viel diskutierten Cloud-Gaming-Geschäft mit. Das Angebot der Telekom umfasst zum Beginn 100 Spiele und soll in Full-HD und später in 4K funktionieren. Die Beta startet noch auf der Gamescom 2019.

  3. Streaming: Disney+ kommt zunächst nicht für Amazon-Geräte
    Streaming
    Disney+ kommt zunächst nicht für Amazon-Geräte

    Disneys Streamingdienst Disney+ wird auf einer Reihe von Geräten als App verfügbar sein - nicht jedoch auf Amazons Tablets und TV-Sticks. Außerdem hat Disney die ersten Länder bekanntgegeben, in denen der Dienst im November 2019 starten wird.


  1. 20:01

  2. 17:39

  3. 16:45

  4. 15:43

  5. 13:30

  6. 13:00

  7. 12:30

  8. 12:02