Brasilien, Korea ... sperren?

Apache, Lighttpd, nginx, Cherokee
fulltilt
Posts: 363
Joined: 2006-08-27 02:06

Brasilien, Korea ... sperren?

Post by fulltilt »

Gibt es eine einfache Möglichkeit um Länder zu blockieren?
Ich würde gerne Brasilien, Korea, China wg. der Spam und Hackattacken radikal :twisted: sperren.

Ralph
mattiass
Userprojekt
Userprojekt
Posts: 608
Joined: 2005-12-16 17:57

Re: Brasilien, Korea ... sperren?

Post by mattiass »

fulltilt wrote:Gibt es eine einfache Möglichkeit um Länder zu blockieren?

Code: Select all

ifconfig eth0 down
macht Schluss mit allen Hack-Attacken. :-D
User avatar
nyxus
Posts: 626
Joined: 2002-09-13 08:41
Location: Lübeck

Re: Brasilien, Korea ... sperren?

Post by nyxus »

Für einen Kunden habe ich mal auf Anfrage alle Netze gesperrt, die für die APNIC registriert waren. Auch er wollte sich damit besser gegen Angriffe etc. schützen. Fast täglich kam danach die Anfrage ein Subnetz nach dem anderen wieder zu entsperren bis er nach zwei Wochen endlich eingesehen hat daß es bessere Wege gibt.

Falls Du es trotzdem machen willst, unter http://www.iana.org findest Du Listen welcher Registry ein Netz zugeordnet ist.
aubergine
Posts: 471
Joined: 2005-09-10 17:52
Location: Frankfurt am Main

Re: Brasilien, Korea ... sperren?

Post by aubergine »

Hier ist mal ein Beispiel für Korea und "unsichere" Asiaten, welches wir auf unseren Gameservern einsetzen:

Boot Script:

Code: Select all

#!/bin/sh
#Korean and Asien TCP Filter

iptables -N KRFILTER
iptables -N KRFILTERED
sh ALL.sh
iptables -A KRFILTER -j ACCEPT
iptables -A KRFILTERED -j DROP

iptables -A KRFILTERED -j LOG --log-prefix "Rej-TCP "
iptables -A KRFILTERED -j DROP

iptables -A INPUT -p tcp -m state --state NEW -j KRFILTER

Die dazugehörife ALL.sh würde den Rahmen sprengen daher biete ich sie mal extern an:

ALL.sh
fulltilt
Posts: 363
Joined: 2006-08-27 02:06

Re: Brasilien, Korea ... sperren?

Post by fulltilt »

MattiasS wrote:
fulltilt wrote:Gibt es eine einfache Möglichkeit um Länder zu blockieren?

Code: Select all

ifconfig eth0 down
macht Schluss mit allen Hack-Attacken. :-D
Das wäre in der Tat die effektivste Methode :wink:
Mit den IP Tables ist auch schon nicht schlecht, allerdings wohl sehr aufwendig ...
Geht vieleicht sowas wie Länder über .htaccess sperren ... als Referenz z.B. mit geo_ip oder sowas ...?
Da muss es doch eine einfache Möglichkeit geben ...
suntzu
Posts: 669
Joined: 2002-12-20 19:47
Location: Mönchengladbach

Re: Brasilien, Korea ... sperren?

Post by suntzu »

Prinzipiell blockt man keine ganzen Länder, es sei denn man weiß, was man tut. Und das sage ich so, weil Leute auch schon auf die Idee gekommen sind, bei E-Mails zum Beispiel alle Mails von free.fr zu blocken... Also: Blocke selektiv oder reaktiv, mit (zeitlich beschränkten?) Sperren von unangenehmen IPs/IP-Bereichen.
User avatar
daemotron
Administrator
Administrator
Posts: 2636
Joined: 2004-01-21 17:44

Re: Brasilien, Korea ... sperren?

Post by daemotron »

fulltilt wrote:Geht vieleicht sowas wie Länder über .htaccess sperren
Technisch gesehen ja - setenv und remote_host sind Deine Freunde. Allerdings ist eine Filterung auf Basis der IP-Adressen auf OSI-Layer 7 (sprich: HTTP-Protokoll) ungleich ressourcenintensiver als eine Filterung auf Layer 3 (sprich: ip-tables).

Ein Application Level Filter macht eigentlich nur Sinn, wenn es darum geht, den Inhalt der Kommunikation zu prüfen (z. B. HTTP-Header-Attacken bei einem Reverse Proxy oder unerwünschte Web-Inhalte bei einem Proxy). Hierbei sind aber alle Schichten des TCP/IP-Stacks beteiligt; außerdem sind die Prüfungen auf Layer 7 i.d.R wesentlich aufwändiger (z. B. String-Analyse regulärer Ausdrücke, Prüfung der MIME-Codierung, bei komprimierter Kommunikation ist erst ein entpacken der Pakete erforderlich etc.) - daher der deutlich höhere Ressourcenbedarf.
lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: Brasilien, Korea ... sperren?

Post by lord_pinhead »

Alleine das Script von aubergine dürfte rechenintensiv sein, wenn man das noch versucht auf Layer 7 zu nutzen, also die ganzen IP-Blöcke zu sperren, dürfte man bald keine freude mehr haben. Es ist sinnlos ganze Blöcke zu sperren, den dann müsste ich die ganze Welt in die Blacklist aufnehmen. Wer schonmal die Blacklist von gotroot versucht hat, weiß das es kein Spaß ist wenn der Apache bei jedem Verbindungsversuch erstmal 10sek die liste durcharbeiten muss.

Sobald ein Einbruchsversuch da ist, sei es jetzt aus China, Timbuktu oder aus Frankreich, kann man nichts machen ausser den Server neu zu installieren, keines dieser Länder interessiert es ob einer Ihrer Landsleute eine Kiste geknackt hat. Und jetzt glaub nicht das in China die besten Cracker sitzen, oder in den Ex-UDSSR Staaten, die gibt es weltweit. Und nur weil du jetzt Asien sperrst, hast du bei weitem keine Ruhe. Da kannst du gleich noch den mittleren Osten, Afrika, Südamerika, die Polarkappen usw sperren. Angriffsversuche gibt es weltweit, und wenn es nur der Rechner deines Nachbarn ist der als Zombihost fungiert. Wenn ich mir die Arbeit machen würde, und alle IP´s aus der audit_log mal prüfe, mach ich sicherlich eine Virtuelle Weltreise weil dort alles vertreten ist. Spam/Phising kommt meist über Zombirechner. Was will ich sperren?

Die Idee hat glaub ich jeder mal gehabt und jeder aus den oben genannten Gründen wieder verworfen. Gegen den Spam gibt es die Blacklist Server, gegen Angriffe auf den Apachen nimmt man mod_security, und damit man wirklich keine Probleme hat, chrootet man seine Dienste noch. Ist effektiver als sich abschotten zu wollen vor falschen Angreifern ;)
foxviper
Posts: 32
Joined: 2007-04-27 16:47

IP sperren

Post by foxviper »

hello,

da ich ein totaler Newbie bin, habe ich mal eine Frage

da ich in den logs sehe, das es Angriffsversuche gibt
möchte ich gerne IP-Gruppen sperren bis zum level B Bereich

also zb 61.217.

gibt es die möglichkeit bei linux dieses einzustellen
Roger Wilco
Posts: 5923
Joined: 2004-05-23 12:53

Re: IP sperren

Post by Roger Wilco »

FoxViper wrote:gibt es die möglichkeit bei linux dieses einzustellen
http://iptables-tutorial.frozentux.net/ ... RANGEMATCH