Angreb fra kinisiske & indiske ip'er

Diverse d.  05. juni. 2014, skrevet af cellkill
Vist: 8797 gange.

cellkill
 
Elitebruger
Tilføjet:
05-06-2014 11:35:23
Svar/Indlæg:
246/26
Har lagt mærke til her på de sidste at min ftp server bliver pinged og belastet en del fra lande ude for EU.

Ved i om man kan få ens ISP (Stofa) til at blokke alle ip'er fra disse lande? (Country block)

Har selvfølelig blokket dem i mine router, men den har desværre kun 32 pladser, og den er snart fyldt godt op.

Har leget lidt med pfsense og Sentyal. Men de kan ikke lide min NAS og min HP server af en eller anden årsag.


116.10.191.197
114.*.*.*
1.*.*.*

106.*.*.*
+ flere ip'er fra disse lande.


Næste bliver jeg bruger min Windows server 2008 som router/nas og den må blokke alt trafik.
EasterKanin
 
Elitebruger
Tilføjet:
05-06-2014 11:39:04
Svar/Indlæg:
4337/121
Kunne en ældre brugt hardware firewall ikke være en løsning? De plejer at kunne købes billigt brugt 🙂

http://www.dba.dk/firewall-lin...

http://www.dba.dk/firewall-dli...

http://www.dba.dk/firewall-cis...

http://www.dba.dk/firewall-zyx...

http://www.dba.dk/firewall-zyx...

http://www.dba.dk/soeg/?soeg=f...


Svaret blev redigeret 2 gange, sidst af EasterKanin d. 05-06-2014 11:43:31.


cellkill
 
Elitebruger
Tilføjet:
05-06-2014 11:43:55
Svar/Indlæg:
246/26
Muligvis, kunne være en idé.
Bruger min RT-N16 som HW firewall lige nu. Men den kan kun blokke og reject.

Anbefalinger?


EasterKanin
 
Elitebruger
Tilføjet:
05-06-2014 11:46:45
Svar/Indlæg:
4337/121
Den ZyXEL USG20W ser meget fed ud http://www.dba.dk/firewall-zyx...


cellkill
 
Elitebruger
Tilføjet:
05-06-2014 11:51:34
Svar/Indlæg:
246/26
Kiggede på den samme, den var den eneste med 1Gbps linie.

Skal jeg lige tænke over. 🙂



EasterKanin
 
Elitebruger
Tilføjet:
05-06-2014 11:51:46
Svar/Indlæg:
4337/121
Det er sku lige før jeg selv byder på den 😀


EasterKanin
 
Elitebruger
Tilføjet:
05-06-2014 12:03:20
Svar/Indlæg:
4337/121
Det er vel lige meget om den har 1Gbps hvis bare det er en der skal sidde imellem internettet og dit netværk for at blokerer IPer


cellkill
 
Elitebruger
Tilføjet:
05-06-2014 12:04:37
Svar/Indlæg:
246/26
Men, Det belaster stadig ens linie at de bliver ved med at kontakte ens ip.

Skrev lige med en af mine venner, han har samme problem, og vores ip'er er langt fra hinanden.

Min ip starter med 95.*.*.* og hans er 46.*.*.*


Hvad siger jeres log?


mazlink
 
Elitebruger
Tilføjet:
05-06-2014 12:07:21
Svar/Indlæg:
743/13
Jeg/Vi oplever angreb fra præcis samme IP'er. Jeg tænker at det er et botnet der prøver at få SSH adgang på udstyr (det ser i hvert fald sådan ud). Jeg har ikke selv giddet endnu (mest fordi jeg har 1 Gbit internet og ikke rigtigt bliver berørt af det), men ellers synes jeg at du skal kontakte de relevante brugere/ISP'er. Du kan starte med at slå IP'erne op på ripe.net, for at finde ud af om hvilken RIR der er ansvarlig for at tildele IP-rangen til en ISP. Så kan du finde den korrekte RIR og efterfølgende ISP. Det kan forhåbentlig få dem lukket.


EasterKanin
 
Elitebruger
Tilføjet:
05-06-2014 12:12:26
Svar/Indlæg:
4337/121
Mon ikke de stopper når de ikke får noget svar tilbage?


EasterKanin
 
Elitebruger
Tilføjet:
05-06-2014 12:15:25
Svar/Indlæg:
4337/121
#8 At du har 1 Gbit er jeg jo slet ikke misundelig på :yes: :yes: :yes:


cellkill
 
Elitebruger
Tilføjet:
05-06-2014 12:28:46
Svar/Indlæg:
246/26
61.174.51.196 De bliver ved 😛

Virkelig mange jeg skal slå op Mazlink. 😉
Vil prøve min isp om de ikke kan blokke hele lande. (Country block)


mazlink
 
Elitebruger
Tilføjet:
05-06-2014 12:58:58
Svar/Indlæg:
743/13
#9 Det skal du ikke være sikker på. De vil jo prøve at få flere maskiner med i deres botnet, og de scanner sådan set bare en masse IP-ranges og forsøger på alle de IP'er.
Altså, 1 Gbit er bare hurtigere, så man ikke skal vente lige så lang tid på bestemte ting. Desværre er lagt de fleste services ikke hurtige nok :P

#11 Det ved jeg. Det er også derfor jeg ikke har taget mig sammen endnu. Jeg tror i øvrigt ikke at du får held til at få dem til at lave country block, da det ikke er sikkert at deres andre kunder er berørte, eller at de faktisk ikke må i forhold til de dataudvækslingsaftaler man kører med. Det er også derfor at det sikkert hjælper mere at kontakte angriberens ISP.


MadsAG
 
Elitebruger
Tilføjet:
05-06-2014 13:51:33
Svar/Indlæg:
5421/53
Hvis du virkelig mener at din linje bliver belastet pga du modtager et par SSH logins/pings, så er det godt nok en sløv linje du har dig 😛


EasterKanin
 
Elitebruger
Tilføjet:
05-06-2014 14:15:55
Svar/Indlæg:
4337/121
#13 Det er jo trafik og det vil jo påvirke linjen lige gyldigt hvor hurtig den er 🙂


mazlink
 
Elitebruger
Tilføjet:
05-06-2014 14:18:20
Svar/Indlæg:
743/13
Nu vil jeg mene at det næsten ligner remote bruteforce SSH attack. Jeg har på min NAS mindst 10000 fejlede forsøg om dagen i øjeblikket, hvilket jeg selv synes er ret vildt.

Vores ene sysadmin skrev at vi havde haft over 100k fejlede SSH logins over 2 dage... Så det er altså ikke småting der ryger igennem ;)


Swayde
 
Elitebruger
Tilføjet:
05-06-2014 19:36:00
Svar/Indlæg:
2246/14
blokér dem på serveren efter 3/10 forkerte koder...


Shadowhunter
 
Elitebruger
Tilføjet:
05-06-2014 22:33:40
Svar/Indlæg:
5474/39
Lav en software firewall kan blockere alt fra ip-adressen fra Asien?

Det er et af problemerne med støj på linjen har lagt mange store firmaers server ned. Det er alm. kendt problem indenfor nørde-verden.

Du vil stadig have støjen fra Asisen på linjen vil prøve på ringe din server op. Da nettet er bygget op på Telefonconceptet tilbage til starten af internettet med modems ringede til hinanden.

Din server/nas skal stadig kontrollere afsenderen. Det er lidt i stil med telefon, som modtager opkald 10000 i sekundet skal stadig bruge energi på tjek om det er nogen værdig snakke med.

Dataen bliver sendt i pakker sammen med, den tjekker afsenderen af pakkerne. Da IT ikke er så klogt på dette område. chippen kan måske tjekke 200 sekundet af pakker, når den modtagere mere. Sker ikke kan få kontakt til serveren. det kendt, som et Ddos angreb.


Svaret blev redigeret 4 gange, sidst af Shadowhunter d. 05-06-2014 22:53:13.


Swayde
 
Elitebruger
Tilføjet:
06-06-2014 02:15:21
Svar/Indlæg:
2246/14
#17 98% rent vrøvl... :no:


Bonghætte
 
Elitebruger
Tilføjet:
06-06-2014 07:02:38
Svar/Indlæg:
1271/38
#17 - Alt netværksudstyr er nemlig fuldt broadcastende hubs....

Det passer jo ikke en meter.


EasterKanin
 
Elitebruger
Tilføjet:
06-06-2014 07:51:33
Svar/Indlæg:
4337/121
Efterhånden burde i have opdaget at shadowhunter er kongen af sort snak 🙂 ❤ 😎


martinta
 
Senior Skribent
Tilføjet:
06-06-2014 10:46:32
Svar/Indlæg:
2826/100
#0

hvis du har en ældre maskine liggende så kig evt. på Sophos UTM (Home)

Der har du i hvert fald mulighed for at blokere lige så mange IP adresser som du ønsker 😉 At man så kan en masse andre interessante ting er en helt anden historie.


cellkill
 
Elitebruger
Tilføjet:
06-06-2014 10:50:55
Svar/Indlæg:
246/26
#21 Det virker til at være et udmærket program. Det vil jeg kigge nærmere på.
Har en i3-2100 pc'er som jeg har dedikeret skal være min router/firewall.



martinta
 
Senior Skribent
Tilføjet:
06-06-2014 11:15:03
Svar/Indlæg:
2826/100
#22

Det kan også klart anbefales, det er let at finde rundt i og skal du lave fejlsøgning af den ene eller anden type kan du live logge på alt (eller worst case lave SSH og så køre ganske normale linux kommandoer)

Hvis du har noget der ikke virker er de normalt ekstremt hjælpsomme inde på deres forum 🙂


@ngler
 
Redaktør
Tilføjet:
06-06-2014 11:59:48
Svar/Indlæg:
4033/364
Synology har add'et GeoIP block (under firewall) , så kan man vel bare add danmark som tillad - så nægter den vel alle andre lande ?

men jo jeg får også masser af SSH fejlet logins..



Rampage
 
Superbruger
Tilføjet:
06-06-2014 13:02:25
Svar/Indlæg:
333/39
#17

Modems der ringer til hinanden? :D


martinta
 
Senior Skribent
Tilføjet:
06-06-2014 13:12:16
Svar/Indlæg:
2826/100
#24

SSH? Hvorfor dælen har i enablet det ud mod internettet? Det er jo bare at fjerne port forwarden så er det problem da løst o_O

Personligt gør jeg ligesom #16 og blokerer IP adresser efter 5 forsøg


Rampage
 
Superbruger
Tilføjet:
06-06-2014 13:13:51
Svar/Indlæg:
333/39
Eller ændre SSH porten til noget andet, evt. lav en ip-list med iper der kun må/kan connecte til servern


martinta
 
Senior Skribent
Tilføjet:
06-06-2014 13:19:23
Svar/Indlæg:
2826/100
#27

Absolut også en mulighed, men hvis du har planer om at benytte det udefra fra offentlige steder (bibliotek, skole, museum, lufthavn mm) spærrer de steder mange gange udgående ukendte porte, så der kan du ikke bare tage en random, at de samme steder så nok også spærer port 22 er en helt anden historie

Min formulering i #26 kunne i øvrig have været bedre, folk bliver ikke blokket efter 5 forsøg på SSH logins, men på FTP delen, SSH er slået fra i mit setup.



MadsAG
 
Elitebruger
Tilføjet:
06-06-2014 13:25:47
Svar/Indlæg:
5421/53
Altså firewall eller ej, så rammer trafikken stadig ens linje? Om du så har 100 firewalls, så er trafikken den samme på WAN siden. Og det er vel næppe på LAN'et at i har problemer.

Lad være med at svare på ping requests eller gentagne login forsøg, så spares der da lidt på uploaden.


Svaret blev redigeret 1 gang, sidst af MadsAG d. 06-06-2014 13:27:09.


@ngler
 
Redaktør
Tilføjet:
06-06-2014 14:25:46
Svar/Indlæg:
4033/364
#26

kun dovenskab hvis man bruger SSH og enabler DMZ på routeren.. (ikke at jeg har det)


Shadowhunter
 
Elitebruger
Tilføjet:
06-06-2014 17:11:45
Svar/Indlæg:
5474/39
#29

Det var sådan set lidt det prøvede på skrive.