Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Projekt-Hosting: Tagelanger DDoS…

Vor ganz China blocken?

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Vor ganz China blocken?

    Autor: Wimmmmmmmmy 30.03.15 - 14:13

    Oh nun bin ich neugierig. Wie bekommt man das hin ;-)

    Ich würde gerne mancmal mich vor Russland, Polen und auch China direkt abblocken.

    Ständig kommen aus den Regionen Angriffe auf meiner 22. Es kann zwar nichts passieren, trotzdem nerven ständig die logs darüber.

    Als ich mal versucht habe ganze IP-Blöcke auszufiltern, sagte irgendwann der IP-Filter/iptables schluss jetzt. Es wird zuviel :-(

  2. Re: Vor ganz China blocken?

    Autor: gaelic 30.03.15 - 14:16

    Hab ich auch aufm ssh Port. Und ich hab auch nur den offen, alles andere ist ja mittlerweile fast fahrlässig.
    Ich blocke dauerhaft nach dem 3. erfolglosen Anmeldeversuch, dennoch jeden Tag xxx neue Versuche aus dieser IP Region. Bin schon gespannt wie das mit IPv6 dann laufen wird :P

  3. Re: Vor ganz China blocken?

    Autor: Sharra 30.03.15 - 14:22

    Wie wärs, wenn du dir von der IANA die Auskunft holst, welche ip-Ranges dem Eurasischen Block zugeteilt wurden, und du einfach diese komplette Range sperrst? Ich vermute mal schwer, du wirst keine Angebote von dort nutzen, und kannst somit die kompletten Kontinentalblöcke einfach ausfiltern.

  4. Re: Vor ganz China blocken?

    Autor: Tantalus 30.03.15 - 14:27

    Wimmmmmmmmy schrieb:
    --------------------------------------------------------------------------------
    > Als ich mal versucht habe ganze IP-Blöcke auszufiltern, sagte irgendwann
    > der IP-Filter/iptables schluss jetzt. Es wird zuviel :-(

    Warum gehst Du dann nicht den umgekehrten Weg über eine Whitelist? Du wirst doch bestimmt wissen, über welche Provider Du i.d.R. auf Deinen SSH zugreifst.

    Gruß
    Tantalus

    ___________________________

    Man sollte sich die Ruhe und Nervenstärke eines Stuhles zulegen. Der muss auch mit jedem Arsch klarkommen.

  5. Re: Vor ganz China blocken?

    Autor: Wimmmmmmmmy 30.03.15 - 14:44

    Tantalus schrieb:
    --------------------------------------------------------------------------------
    > Wimmmmmmmmy schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Als ich mal versucht habe ganze IP-Blöcke auszufiltern, sagte irgendwann
    > > der IP-Filter/iptables schluss jetzt. Es wird zuviel :-(
    >
    > Warum gehst Du dann nicht den umgekehrten Weg über eine Whitelist? Du wirst
    > doch bestimmt wissen, über welche Provider Du i.d.R. auf Deinen SSH
    > zugreifst.


    Das hatte ich früher. Doch meine Provider halten sich nicht so daran. Musste das aufgeben.
    Portwechsel ging auch nicht gut, oft werden manchmal untypische Ports gesperrt.
    Und die hier o.g. Autosperre war auch leider zuvoll am ende.

    Entwede lebe ich mit den Massenlogs oder sperre die drei nervenden Länder ggg.


    Technisch würde es mich auf jedenfall interessieren, wie die einfach so ganz China ausgesperrt haben.

  6. Re: Vor ganz China blocken?

    Autor: MrCrankHank 30.03.15 - 15:30

    Es gibt für iptables ein geoip modul, benutzte ich schon länger. Damit kann man komplette länder rausfiltern oder nur bestimmte zulassen.
    Das Modul ist Teil einer Erweiterung und nicht im Kernel vorhanden, muss also selbst kompiliert werden.

    Eine andere Möglichkeit um seeeehr viele IPs zu filtern bietet ipset in Kombination mit iptables.

    http://ipset.netfilter.org/
    https://open-admin.de/howto/laender-mittels-iptables-aussperren/

  7. Re: Vor ganz China blocken?

    Autor: Cyberlink 30.03.15 - 15:32

    Du kannst das relativ einfach mit iptables und einer geoip Datenbank realisieren.

    => http://www.wipmania.com/en/blog/geoip-for-iptables/

    Kostenlose DBs haben meist nur die Länder ISOs drin, die kostenpflichtigen dann auch Kontinente und Regionen.

    Ein Beispiel einer Whitelist:
    ##############################################################################
    # GEOIP

    -N GEODROP
    # Allow private network ranges
    -A GEODROP -s 10.0.0.0/8 -j RETURN
    -A GEODROP -s 172.16.0.0/12 -j RETURN
    -A GEODROP -s 192.168.0.0/16 -j RETURN

    # Allow switzerland,lichtenstein and all european countries
    -A GEODROP -m geoip --src-cc EU -j RETURN
    -A GEODROP -m geoip --src-cc BE -j RETURN
    -A GEODROP -m geoip --src-cc BG -j RETURN
    -A GEODROP -m geoip --src-cc DK -j RETURN
    -A GEODROP -m geoip --src-cc DE -j RETURN
    -A GEODROP -m geoip --src-cc EE -j RETURN
    -A GEODROP -m geoip --src-cc FI -j RETURN
    -A GEODROP -m geoip --src-cc FR -j RETURN
    -A GEODROP -m geoip --src-cc GR -j RETURN
    -A GEODROP -m geoip --src-cc IE -j RETURN
    -A GEODROP -m geoip --src-cc IT -j RETURN
    -A GEODROP -m geoip --src-cc HR -j RETURN
    -A GEODROP -m geoip --src-cc LV -j RETURN
    -A GEODROP -m geoip --src-cc LT -j RETURN
    -A GEODROP -m geoip --src-cc LU -j RETURN
    -A GEODROP -m geoip --src-cc MT -j RETURN
    -A GEODROP -m geoip --src-cc NL -j RETURN
    -A GEODROP -m geoip --src-cc AT -j RETURN
    -A GEODROP -m geoip --src-cc PL -j RETURN
    -A GEODROP -m geoip --src-cc PT -j RETURN
    -A GEODROP -m geoip --src-cc RO -j RETURN
    -A GEODROP -m geoip --src-cc SE -j RETURN
    -A GEODROP -m geoip --src-cc SK -j RETURN
    -A GEODROP -m geoip --src-cc ES -j RETURN
    -A GEODROP -m geoip --src-cc CZ -j RETURN
    -A GEODROP -m geoip --src-cc HU -j RETURN
    -A GEODROP -m geoip --src-cc GB -j RETURN
    -A GEODROP -m geoip --src-cc CH -j RETURN
    -A GEODROP -m geoip --src-cc LI -j RETURN
    -A GEODROP -m geoip --src-cc CY -j RETURN
    -A GEODROP -m geoip --src-cc SI -j RETURN

    # Allow norway
    -A GEODROP -m geoip --src-cc NO -j RETURN

    # Allow usa,canada,australia and new zealand
    -A GEODROP -m geoip --src-cc US -j RETURN
    -A GEODROP -m geoip --src-cc CA -j RETURN
    -A GEODROP -m geoip --src-cc AU -j RETURN
    -A GEODROP -m geoip --src-cc NZ -j RETURN

    # Log and Drop Requests from unsave contries
    -A GEODROP -j LOG --log-prefix "GEODROP "
    -A GEODROP -j REJECT --reject-with icmp-host-prohibited

    ###############################################################################
    # FORWARD CHAIN

    -A FORWARD -i eth0 -j GEODROP

  8. Re: Vor ganz China blocken?

    Autor: elgooG 30.03.15 - 16:10

    MrCrankHank schrieb:
    --------------------------------------------------------------------------------
    > Es gibt für iptables ein geoip modul, benutzte ich schon länger. Damit kann
    > man komplette länder rausfiltern oder nur bestimmte zulassen.
    > Das Modul ist Teil einer Erweiterung und nicht im Kernel vorhanden, muss
    > also selbst kompiliert werden.
    >
    > Eine andere Möglichkeit um seeeehr viele IPs zu filtern bietet ipset in
    > Kombination mit iptables.
    >
    > ipset.netfilter.org
    > open-admin.de

    Ebenfalls empfehlenswert ist übrigens: http://www.ipdeny.com/ipblocks/

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite

  9. Re: Vor ganz China blocken?

    Autor: sehr_interessant 30.03.15 - 16:17

    Der Angriff kommt auch von Clients außerhalb Chinas.

    Die beste Gegenwehr wäre wohl, den Traffic zu multiplizieren und auf chinesische Behördenseiten weiterzuleiten.

  10. Re: Vor ganz China blocken?

    Autor: elgooG 30.03.15 - 16:26

    Ich wusste gar nicht, dass Firewall-Regeln derart rassistisch sein können. ;D

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite

  11. Re: Vor ganz China blocken?

    Autor: azeu 30.03.15 - 16:33

    Du könntest Deinen SSH Server einfach auf einen anderen Port hören lassen z.B.

    DU bist ...

  12. Re: Vor ganz China blocken?

    Autor: Moe479 30.03.15 - 16:50

    logrotate hilft, damit die dinger nicht ewig anwachsen, ansonsten das logging abschalten, wenn du dir sicher bist, dass alles sicher ist/ du es nicht brauchst ...

    die vielen 404-quittierten zugriffe/scans kommen i.d.r von bots, die z.b. versuchen ne alte pma version zu finden(auch ne neuere sollte man nicht ohne weiteres dem www öffnen), und nen angriff über ne chinesische ip muss nicht zwangsläufig nen chniesischen ursprung haben ... dort gibt es nur die meisten rechner ;)

  13. Re: Vor ganz China blocken?

    Autor: Moe479 30.03.15 - 16:53

    wenn, dann sind sie national ...

  14. Re: Vor ganz China blocken?

    Autor: fuzzy 30.03.15 - 17:36

    Wenn es für IPTables zu viel wird, muss eben IPSet einspringen. ;)
    Du solltest die Netze natürlich auch so groß wie möglich fassen.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  15. Re: Vor ganz China blocken?

    Autor: narea 30.03.15 - 20:47

    Wimmmmmmmmy schrieb:
    --------------------------------------------------------------------------------
    > Oh nun bin ich neugierig. Wie bekommt man das hin ;-)
    >
    > Ich würde gerne mancmal mich vor Russland, Polen und auch China direkt
    > abblocken.
    >
    > Ständig kommen aus den Regionen Angriffe auf meiner 22. Es kann zwar nichts
    > passieren, trotzdem nerven ständig die logs darüber.

    Und warum hast du ssh auf 22? Mach es halt auf einen anderen der 65k ports. Bei mir kommt nix an.

  16. Re: Vor ganz China blocken?

    Autor: MrCrankHank 30.03.15 - 21:34

    Was bringt das?

    Die Bots können gern versuchen sich da anzumelden. Public key authentication und gut ist.

    Ich persönlich halte Fail2Ban und Port verlegen für security through obscurity.

    Verstehe nicht was an den Logs so schlimm ist. Mit grep kann man ganz gut die Spreu vom Weizen trennen,



    1 mal bearbeitet, zuletzt am 30.03.15 21:36 durch MrCrankHank.

  17. Re: Vor ganz China blocken?

    Autor: ConiKost 30.03.15 - 22:24

    MrCrankHank schrieb:
    --------------------------------------------------------------------------------
    > Was bringt das?
    >
    > Die Bots können gern versuchen sich da anzumelden. Public key
    > authentication und gut ist.
    >
    > Ich persönlich halte Fail2Ban und Port verlegen für security through
    > obscurity.
    >
    > Verstehe nicht was an den Logs so schlimm ist. Mit grep kann man ganz gut
    > die Spreu vom Weizen trennen,

    Warum? Port verlegen sehe ich nicht als Sicherheitsgewinn. Es hält einfach die Logs leer. Seit mein SSH auf einem Port > 1024 liegt, werden meine Logs nicht mehr zugemüllt.. Hat IMHO rein garnix mit security through obscurity zu tun.

  18. Re: Vor ganz China blocken?

    Autor: narea 31.03.15 - 00:42

    MrCrankHank schrieb:
    --------------------------------------------------------------------------------
    > Was bringt das?
    >
    > Die Bots können gern versuchen sich da anzumelden. Public key
    > authentication und gut ist.
    >
    > Ich persönlich halte Fail2Ban und Port verlegen für security through
    > obscurity.
    >
    > Verstehe nicht was an den Logs so schlimm ist. Mit grep kann man ganz gut
    > die Spreu vom Weizen trennen,

    Für was Ressourcen/CPU mit Logs verschwenden, wenn es problemlos ohne geht?
    Zumal, falls irgendwann mal irgendeine Lücke in ssh bekannt werden würde, hast du mit 22 Probleme; mit 51753 nicht, da es einfach niemand scannen wird, da es eben tausende andere einfachere Ziele gibt.

  19. Re: Vor ganz China blocken?

    Autor: Smile 31.03.15 - 01:10

    der Tipp mit den ip Tablets ist schon Gold wert.

    Hier gibt's auch ne Step für Step Anleitung: http://sven-goessling.de/19/02/2015/centos-6-5-server-mit-iptables-und-geoip-schuetzen/

  20. Re: Vor ganz China blocken?

    Autor: der_wahre_hannes 31.03.15 - 08:11

    narea schrieb:
    --------------------------------------------------------------------------------
    > MrCrankHank schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Was bringt das?
    > >
    > > Die Bots können gern versuchen sich da anzumelden. Public key
    > > authentication und gut ist.
    > >
    > > Ich persönlich halte Fail2Ban und Port verlegen für security through
    > > obscurity.
    > >
    > > Verstehe nicht was an den Logs so schlimm ist. Mit grep kann man ganz
    > gut
    > > die Spreu vom Weizen trennen,
    >
    > Für was Ressourcen/CPU mit Logs verschwenden, wenn es problemlos ohne
    > geht?

    Wenn deine Ressourcen durch das Schreiben von Logs so sehr in Mitleidenschaft gezogen werden, dass das viele Loggen tatsächlich ein Problem ist, dann hat dein System mMn ganz andere Probleme als das, dass viel geloggt wird...

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Bechtle Onsite Services, Oberhausen
  2. Bundeskriminalamt, Wiesbaden
  3. OEDIV KG, Bielefeld
  4. makandra GmbH, deutschlandweit

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 2,99€
  2. 4,31€
  3. 4,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


IT-Arbeit: Was fürs Auge
IT-Arbeit
Was fürs Auge

Notebook, Display und Smartphone sind für alle, die in der IT arbeiten, wichtige Werkzeuge. Damit man etwas mit ihnen anfangen kann, ist ein anderes Werkzeug mindestens genauso wichtig: die Augen. Wir geben Tipps, wie man auch als Freiberufler augenschonend arbeiten kann.
Von Björn König

  1. Sysadmin "Man kommt erst ins Spiel, wenn es brennt"
  2. Verdeckte Leiharbeit Wenn die Firma IT-Spezialisten als Fremdpersonal einsetzt
  3. IT-Standorte Wie kann Leipzig Hypezig bleiben?

Google Maps: Karten brauchen Menschen statt Maschinen
Google Maps
Karten brauchen Menschen statt Maschinen

Wenn Karten nicht mehr von Menschen, sondern allein von Maschinen erstellt werden, erfinden diese U-Bahn-Linien, Hochhäuser im Nationalpark und unmögliche Routen. Ein kurze Liste zu den Grenzen der Automatisierung.
Von Sebastian Grüner

  1. Kartendienst Google bringt AR-Navigation und Reiseinformationen in Maps
  2. Maps Duckduckgo mit Kartendienst von Apple
  3. Google Maps zeigt Bikesharing in Berlin, Hamburg, Wien und Zürich

OKR statt Mitarbeitergespräch: Wir müssen reden
OKR statt Mitarbeitergespräch
Wir müssen reden

Das jährliche Mitarbeitergespräch ist eines der wichtigsten Instrumente für Führungskräfte, doch es ist gerade in der IT-Branche nicht mehr unbedingt zeitgemäß. Aus dem Silicon Valley kommt eine andere Methode: OKR. Sie erfüllt die veränderten Anforderungen an Agilität und Veränderungsbereitschaft.
Von Markus Kammermeier

  1. Arbeit Hilfe für frustrierte ITler
  2. IT-Arbeitsmarkt Jobgarantie gibt es nie
  3. IT-Fachkräftemangel Freie sind gefragt

  1. Zenbook Flip 14 (UM462): Das neue Asus-Convertible nutzt eine AMD-Ryzen-CPU
    Zenbook Flip 14 (UM462)
    Das neue Asus-Convertible nutzt eine AMD-Ryzen-CPU

    Auch Asus bietet mittlerweile einige AMD-Notebooks an. Ein Beispiel ist das Zenbook Flip 14, welches einen Ryzen 5 oder Ryzen 7 verwendet. Dazu kommen ein um 360 Grad drehbares Touchpanel und ein Nummernblock im Touchpad. Der Startpreis: 750 Euro.

  2. Raumfahrt: SNC stellt Aufblas-Habitat für künftige Raumstationen vor
    Raumfahrt
    SNC stellt Aufblas-Habitat für künftige Raumstationen vor

    An einer Raumstation soll das Modul möglichst groß sein, aber beim Transport ins All nur wenig Platz wegnehmen. Das US-Raumfahrtunternehmen Sierra Nevada Corporation hat ein Habitat entwickelt, das ein Drittel des Volumens der ISS hat, aber trotzdem in eine Rakete passt.

  3. Ascend 910: Huaweis KI-Chip kann gekauft werden
    Ascend 910
    Huaweis KI-Chip kann gekauft werden

    Huawei macht seine Ankündigung zur Realität und hat den KI-Chip Ascend 910 fertiggestellt. Kunden können den ARM-Prozessor als vorgefertigten Server kaufen. Dort arbeiten 1.024 der Chips parallel an neuronalen Netzwerken. Passend dazu gibt es mit Mindspore ein Framework.


  1. 12:59

  2. 12:45

  3. 12:30

  4. 12:02

  5. 11:58

  6. 11:50

  7. 11:38

  8. 10:56