Brasilien, Korea ... sperren?

[fulltilt]

Gibt es eine einfache Möglichkeit um Länder zu blockieren?
Ich würde gerne Brasilien, Korea, China wg. der Spam und Hackattacken radikal :twisted: sperren.

Ralph

[mattiass]

Gibt es eine einfache Möglichkeit um Länder zu blockieren?

Code: Select all

ifconfig eth0 down

macht Schluss mit allen Hack-Attacken. :-D

[nyxus]

Für einen Kunden habe ich mal auf Anfrage alle Netze gesperrt, die für die APNIC registriert waren. Auch er wollte sich damit besser gegen Angriffe etc. schützen. Fast täglich kam danach die Anfrage ein Subnetz nach dem anderen wieder zu entsperren bis er nach zwei Wochen endlich eingesehen hat daß es bessere Wege gibt.

Falls Du es trotzdem machen willst, unter http://www.iana.org findest Du Listen welcher Registry ein Netz zugeordnet ist.

[aubergine]

Hier ist mal ein Beispiel für Korea und "unsichere" Asiaten, welches wir auf unseren Gameservern einsetzen:

Boot Script:

Code: Select all

#!/bin/sh
#Korean and Asien TCP Filter

iptables -N KRFILTER
iptables -N KRFILTERED
sh ALL.sh
iptables -A KRFILTER -j ACCEPT
iptables -A KRFILTERED -j DROP

iptables -A KRFILTERED -j LOG --log-prefix "Rej-TCP "
iptables -A KRFILTERED -j DROP

iptables -A INPUT -p tcp -m state --state NEW -j KRFILTER

Die dazugehörife ALL.sh würde den Rahmen sprengen daher biete ich sie mal extern an:

ALL.sh

[fulltilt]

Gibt es eine einfache Möglichkeit um Länder zu blockieren?

Code: Select all

ifconfig eth0 down

macht Schluss mit allen Hack-Attacken. :-D

Das wäre in der Tat die effektivste Methode
Mit den IP Tables ist auch schon nicht schlecht, allerdings wohl sehr aufwendig ...
Geht vieleicht sowas wie Länder über .htaccess sperren ... als Referenz z.B. mit geo_ip oder sowas ...?
Da muss es doch eine einfache Möglichkeit geben ...

[suntzu]

Prinzipiell blockt man keine ganzen Länder, es sei denn man weiß, was man tut. Und das sage ich so, weil Leute auch schon auf die Idee gekommen sind, bei E-Mails zum Beispiel alle Mails von free.fr zu blocken... Also: Blocke selektiv oder reaktiv, mit (zeitlich beschränkten?) Sperren von unangenehmen IPs/IP-Bereichen.

[daemotron]

Geht vieleicht sowas wie Länder über .htaccess sperren

Technisch gesehen ja - setenv und remote_host sind Deine Freunde. Allerdings ist eine Filterung auf Basis der IP-Adressen auf OSI-Layer 7 (sprich: HTTP-Protokoll) ungleich ressourcenintensiver als eine Filterung auf Layer 3 (sprich: ip-tables).

Ein Application Level Filter macht eigentlich nur Sinn, wenn es darum geht, den Inhalt der Kommunikation zu prüfen (z. B. HTTP-Header-Attacken bei einem Reverse Proxy oder unerwünschte Web-Inhalte bei einem Proxy). Hierbei sind aber alle Schichten des TCP/IP-Stacks beteiligt; außerdem sind die Prüfungen auf Layer 7 i.d.R wesentlich aufwändiger (z. B. String-Analyse regulärer Ausdrücke, Prüfung der MIME-Codierung, bei komprimierter Kommunikation ist erst ein entpacken der Pakete erforderlich etc.) - daher der deutlich höhere Ressourcenbedarf.

[lord_pinhead]

Alleine das Script von aubergine dürfte rechenintensiv sein, wenn man das noch versucht auf Layer 7 zu nutzen, also die ganzen IP-Blöcke zu sperren, dürfte man bald keine freude mehr haben. Es ist sinnlos ganze Blöcke zu sperren, den dann müsste ich die ganze Welt in die Blacklist aufnehmen. Wer schonmal die Blacklist von gotroot versucht hat, weiß das es kein Spaß ist wenn der Apache bei jedem Verbindungsversuch erstmal 10sek die liste durcharbeiten muss.

Sobald ein Einbruchsversuch da ist, sei es jetzt aus China, Timbuktu oder aus Frankreich, kann man nichts machen ausser den Server neu zu installieren, keines dieser Länder interessiert es ob einer Ihrer Landsleute eine Kiste geknackt hat. Und jetzt glaub nicht das in China die besten Cracker sitzen, oder in den Ex-UDSSR Staaten, die gibt es weltweit. Und nur weil du jetzt Asien sperrst, hast du bei weitem keine Ruhe. Da kannst du gleich noch den mittleren Osten, Afrika, Südamerika, die Polarkappen usw sperren. Angriffsversuche gibt es weltweit, und wenn es nur der Rechner deines Nachbarn ist der als Zombihost fungiert. Wenn ich mir die Arbeit machen würde, und alle IP´s aus der audit_log mal prüfe, mach ich sicherlich eine Virtuelle Weltreise weil dort alles vertreten ist. Spam/Phising kommt meist über Zombirechner. Was will ich sperren?

Die Idee hat glaub ich jeder mal gehabt und jeder aus den oben genannten Gründen wieder verworfen. Gegen den Spam gibt es die Blacklist Server, gegen Angriffe auf den Apachen nimmt man mod_security, und damit man wirklich keine Probleme hat, chrootet man seine Dienste noch. Ist effektiver als sich abschotten zu wollen vor falschen Angreifern ;)

[foxviper]

hello,

da ich ein totaler Newbie bin, habe ich mal eine Frage

da ich in den logs sehe, das es Angriffsversuche gibt
möchte ich gerne IP-Gruppen sperren bis zum level B Bereich

also zb 61.217.

gibt es die möglichkeit bei linux dieses einzustellen

[Roger Wilco]

gibt es die möglichkeit bei linux dieses einzustellen

http://iptables-tutorial.frozentux.net/ ... RANGEMATCH