Комментарии 67
Решение интересное, но зависит от конкретной ситуации. К примеру, по поводу:
Я по роду деятельности могу находиться в разных уголках света. И в любом из них мне может потребоваться безопасный доступ к своему серверу по SSH. Этот вопрос решается применением port knocking, срабатывание которого добавляет правило в iptables на разрешение доступа с этого IP. А в 12 ночикарета превращается в тыкву правило удаляется. Дабы не загромождать список правил всеми местами где побывал. да и вообще, для пущей безопасности.
Хотя, я так полагаю, мой подход вполне можно подружить с Вашим, и сосуществовать они должны оба мирно
И с какого перепугу ко мне стучаться ssh брутфорсеры из Штатов?
Я по роду деятельности могу находиться в разных уголках света. И в любом из них мне может потребоваться безопасный доступ к своему серверу по SSH. Этот вопрос решается применением port knocking, срабатывание которого добавляет правило в iptables на разрешение доступа с этого IP. А в 12 ночи
Хотя, я так полагаю, мой подход вполне можно подружить с Вашим, и сосуществовать они должны оба мирно
Спасибо за комментарий!
port knocking — штука отличная, только я вот лентяй.
И конечно, можем дружить :)
Просто правила ssh и port knocking — выносим наверх iptables, а потом баним по континентам все остальное.
port knocking — штука отличная, только я вот лентяй.
И конечно, можем дружить :)
Просто правила ssh и port knocking — выносим наверх iptables, а потом баним по континентам все остальное.
Про Port knocking статья была отличная.
А потом скажут, что железный занавес начали поднимать сами граждане, государство лишь поддержало их инициативу.
Рекомендую (да и не только я) IPSet для большого количества правил. Работать будет быстрее.
Спасибо за коммент.
А на сколько это оправданно в случае бана по /8?
Там же правил iptables с гулькин нос получается.
А на сколько это оправданно в случае бана по /8?
Там же правил iptables с гулькин нос получается.
В вашем случае, наверное, проще действительно использовать iptables, т.к. 63 правила — ничто, но когда речь идет, например, о 500 правилах, то тут лучше сразу IPSet использовать.
Похоже, это решение каждый изобретает самостоятельно и заново :)
Когда на Флибусту шел очередной DDOS, заклинание «щит третьего мира» было всегда первой мерой противодействия. Только в списке еще + Ближний Восток (Иран, Аравия, Ирак, Палестина...). Количество ботов сбивало процентов на 95.
Когда на Флибусту шел очередной DDOS, заклинание «щит третьего мира» было всегда первой мерой противодействия. Только в списке еще + Ближний Восток (Иран, Аравия, Ирак, Палестина...). Количество ботов сбивало процентов на 95.
Очень плохой метод. Очевидные примеры из недавнего, крупная Китайская компания офису в США назначила IP из своего APNIC диапазона, немецкий провайдер выдает IP из RIPE блока клиентам в Африке. Тот же гугл практически везде по миру пользуется блоком из ARIN диапазона независимо где находится датацентр. Что делать в случае CDN и anycast случаев — вообще не понятно. Про биржи IP уже даже на хабре писали. Вобщем — не делайте так.
Интересно, что так можно ненароком забанить нужные регионы.
Мы делали подобный бан на периметре нашей сети. И вот при бане Америки ушла в бан 192.0.0.0/8 подсеть. Посмотрели в IANA — да, есть такая проблема. Разрешили из частной сети ходить куда нужно. Но возникла проблемы с удаленной компанией. Оказалось что у ребят адрес из диапазона 192.162.0.0/16 который передали RIPE и кусок из него оказался в Украине.
Так что с данной схемой поосторожнее. Делайте так только если у вас просто нет другого выхода, или если вы знаете на 100% что из этого выйдет.
Мы делали подобный бан на периметре нашей сети. И вот при бане Америки ушла в бан 192.0.0.0/8 подсеть. Посмотрели в IANA — да, есть такая проблема. Разрешили из частной сети ходить куда нужно. Но возникла проблемы с удаленной компанией. Оказалось что у ребят адрес из диапазона 192.162.0.0/16 который передали RIPE и кусок из него оказался в Украине.
Так что с данной схемой поосторожнее. Делайте так только если у вас просто нет другого выхода, или если вы знаете на 100% что из этого выйдет.
Расскажу вам один интересный случай из своей практики. Один достаточно известный русский хостер забанил внешний трафик к своему DNS. Сервера компании, в которой я прежде работал, располагались в Германии. В результате ряд достаточно крупных клиентов просто не получил важную информацию. Это нарушило работу нескольких филиалов компании, компания понесла убытки. Боритесь с роботами, а не блокируйте вслепую.
Имхо, результат не стоит потраченного времени
Сервисы как были открыты, так и остаются, пусть для меньшей части интернета, но все же огромной если считать хосты.
Вероятность взлома меньше, да, но не кардинально на порядки, а всего лишь в разы.
Сервисы как были открыты, так и остаются, пусть для меньшей части интернета, но все же огромной если считать хосты.
Вероятность взлома меньше, да, но не кардинально на порядки, а всего лишь в разы.
Ну, если результат был получен за 10-15 минут, принёс в жизнь немного фана, ничем особо не мешает — то почему бы и нет?
Акцент в статье на то, что:
Т.е. человек хотел добиться уменьшения записи в логах, чтоб глаза не отвелкало от действительно важных вещей. И, в какой-то степени, малой кровью ему это удалось. Он нигде не пишет, что этот мини скрипт делает его unhackable на 100%
После этого в логах наступило умиротворение и спокойствие.
Т.е. человек хотел добиться уменьшения записи в логах, чтоб глаза не отвелкало от действительно важных вещей. И, в какой-то степени, малой кровью ему это удалось. Он нигде не пишет, что этот мини скрипт делает его unhackable на 100%
НЛО прилетело и опубликовало эту надпись здесь
Открыл статью и первая мысль — " Неужели правительство России забанило весь мир"
прочитал и отлегло.
У нас все не спокойно, но хаотичное создание законов о интернете в России меня просто поражает.
А таки все гениальное просто.
прочитал и отлегло.
У нас все не спокойно, но хаотичное создание законов о интернете в России меня просто поражает.
А таки все гениальное просто.
Попробовал из Англии разместить объявление на Авито, старшее поколение попросило. Ничего не вышло именно из-за IP-адреса, написал поддержке, та сделала строгое каменное лицо и сказала «не положено».
Если уж и дискриминировать по географическому принципу, то лучше капчу добавьте, а не просто блокируйте.
Если уж и дискриминировать по географическому принципу, то лучше капчу добавьте, а не просто блокируйте.
Использовал подобное решение для университетского хостинга веб-страничек, ограничив доступ к ftp-серверу для заливки файлов сетями одного города. Работало :) Лог fail2ban был пуст.
Главное чтоб IANA ваш метод не начала использовать. )
Как-то это противоречит принципам интернета и сетевой нейтральности. Про ssh я вообще не понимаю проблемы, сделайте аутентификацию по ключам и все боты будут с носом. В от DDOS вы так всё равно не защититесь.
Тим Бернес-Ли вряд ли одобрил бы подобные методы.
Понадобилось одному нашему клиенту как-то отправить письмо в одну европейскую компанию. А там админ оказался такой же придурок и забанил просто все русские адреса, типа, «там одни спаммеры». И всё, не смогли отправить почту с корпоративного сервера, который расположен в датацентре в Москве и естественно оказался забанен.
Видите ли, какое дело… Вы всех американцев объявили брутфорсерами, а всех жителей Юго-Восточной Азии — спаммерами. А это даже не ошибка… Это ещё хуже, чем использовать спамхаус.
Видите ли, какое дело… Вы всех американцев объявили брутфорсерами, а всех жителей Юго-Восточной Азии — спаммерами. А это даже не ошибка… Это ещё хуже, чем использовать спамхаус.
А почему африка на картинке чорная?:)
не автор топика начал )
Мне кажется наиболее целесообразно использовать активную IDS
НЛО прилетело и опубликовало эту надпись здесь
Плохие вы даете советы, никуда не годные. В то время как почти каждое государство подумывает, как бы ему отгородить себе кусочек собственного интернета, вы огораживаетесь сами, добровольно и с песней ;)
Тот самый скрипт который будет сорить между собой людей…
Пример: Россия «Dont like» Украину и наоборот…
Оружие в бой!
Я немножко закритикую вас с вашего разрешения и с уважением, просто мысли в слух…
А вдруг кто то пользуеться анонимайзером или просто хочет из АОЕ зайти к вам на сайт во время курорта… Сами ограничиваете свой контингент!
Пример: Россия «Dont like» Украину и наоборот…
Оружие в бой!
Я немножко закритикую вас с вашего разрешения и с уважением, просто мысли в слух…
А вдруг кто то пользуеться анонимайзером или просто хочет из АОЕ зайти к вам на сайт во время курорта… Сами ограничиваете свой контингент!
Хех… У нас на форуме наблюдалась не раз большая рассылка спама с адресов, которые, судя по whois, были закреплены за одним из штатовских дата-центров. Когда начал разгребать логи, пришёл к выводу, что адреса, принадлежащие дата-центрам, надо пускать по ограниченному белому списку, остальные банить: это был не единственный дата-центр, на котором серверы рассылают спам.
Для форума не лучший вариант т.к. в дата-центре могут купить VPS и заходить через прокси.
Думаю, ещё и от форума зависит. У нас форум посещают, как правило, по рабочим делам, и анонимизацию нормальные посетители не используют. В любом случае блокируем только подсети, с которых шёл спам (адреса видны в логах). Часто находили по нескольку серверов в подсети. Если считать чисто по IP-адресам, то их мой самописный антиспам-автобан для vBulletin за примерно два месяца своей работы набрал и заблочил с помощью iptables порядка 4000 адресов, некоторые из которых сильно выделяются из массы остальных объёмами заблокированного трафика. В основном эти выделяющиеся адреса были именно в пространстве дата-центров. На одном из серверов-спамеров удалось выявить винду (предположительно Server 2012). Может, взломан был.
Я пошёл другим путём. Меня доставали только ssh-сканеры. В один прекрасный день, я собрал за сутки все IP с которых сканили, проанализировал двухстрочным скриптом об geoip и обнаружил, что почти все сканеры из Китая. Нормализовал сетки и получил всего несколько сеток с которых действительно идёт активная деятельность:
правила IPTABLES
После этого тривиального действия сканеров стало приходить в десятки раз меньше и на 15-20 сканирований в сутки я забиваю, их быстро режет port knocking.-A BLCHINA -s 58.192.0.0/11 -j DROP
-A BLCHINA -s 60.160.0.0/11 -j DROP
-A BLCHINA -s 61.128.0.0/10 -j DROP
-A BLCHINA -s 115.224.0.0/12 -j DROP
-A BLCHINA -s 117.21.0.0/16 -j DROP
-A BLCHINA -s 117.40.0.0/14 -j DROP
-A BLCHINA -s 189.128.0.0/9 -j DROP
-A BLCHINA -s 218.0.0.0/11 -j DROP
-A BLCHINA -s 222.168.0.0/13 -j DROP
-A BLCHINA -s 222.176.0.0/12 -j DROP
-A BLCHINA -s 222.192.0.0/11 -j DROP
-A BLCHINA -s 60.160.0.0/11 -j DROP
-A BLCHINA -s 61.128.0.0/10 -j DROP
-A BLCHINA -s 115.224.0.0/12 -j DROP
-A BLCHINA -s 117.21.0.0/16 -j DROP
-A BLCHINA -s 117.40.0.0/14 -j DROP
-A BLCHINA -s 189.128.0.0/9 -j DROP
-A BLCHINA -s 218.0.0.0/11 -j DROP
-A BLCHINA -s 222.168.0.0/13 -j DROP
-A BLCHINA -s 222.176.0.0/12 -j DROP
-A BLCHINA -s 222.192.0.0/11 -j DROP
То есть если я пользователь OpenVPN то я не человек?
С чисто технической точки зрения данный вопрос лучше решать через xtables и ipset.
Пример как делать andrey.org/iptables-geoip-centos/
А проблему брута ssh решают denyhosts / fail2ban, без всяких банов сетей
Пример как делать andrey.org/iptables-geoip-centos/
А проблему брута ssh решают denyhosts / fail2ban, без всяких банов сетей
а теперь другой вопрос, как теперь можно удалить страны например Северную америку из правил iptables?))
Как вариант с помощью geoip добавить США в список разрешенных стран и вынести это правило наверх iptables.
И кстати, в данной статье указан скрипт.
Северной Америки там и так нет, по умолчанию.
BAN_CONT='AFRINIC|APNIC|LACNIC'
Здесь банится только Африка, Азия-Океания и Латинская Америка.
Если решите забанить Северную Америку, то добавьте |ARIN
И кстати, в данной статье указан скрипт.
Северной Америки там и так нет, по умолчанию.
BAN_CONT='AFRINIC|APNIC|LACNIC'
Здесь банится только Африка, Азия-Океания и Латинская Америка.
Если решите забанить Северную Америку, то добавьте |ARIN
так вот и добавил с горяча)))
а кстати про то что можно добавить в список разрешённых и наверх правил добавить не подумал,
спасибо
а кстати про то что можно добавить в список разрешённых и наверх правил добавить не подумал,
спасибо
написал скрипт unban.sh чтоб разблокировать Северную Америку
#!/bin/sh
#
BAN_CONT='ARIN'
#
list=`curl -s www.iana.org/assignments/ipv4-address-space/ipv4-address-space.csv \
| egrep $BAN_CONT \
| cut -d "," -f 1 \
| sed 's!/8!.0.0.0/8!g' `
for ip in $list; do
iptables -D INPUT -s $ip
done
только перед выполнением делаем следующеее
service iptables stop
#!/bin/sh
#
BAN_CONT='ARIN'
#
list=`curl -s www.iana.org/assignments/ipv4-address-space/ipv4-address-space.csv \
| egrep $BAN_CONT \
| cut -d "," -f 1 \
| sed 's!/8!.0.0.0/8!g' `
for ip in $list; do
iptables -D INPUT -s $ip
done
только перед выполнением делаем следующеее
service iptables stop
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Бан по континентам