Tag 354/2016: 1 Mal hinschauen, sofort geblockt

Ich schau mir gerade die WHOIS-Einträge aller IP-Adressen an, die auf einem meiner Hobby-VPS in die „ufw-blocker“-Falle getappt sind.

„ufw-blocker“ ist ein einfacher fail2ban-Filter, der in der syslog-Datei nach von der ufw-Firewall geblockten Einträgen sucht:

[Definition]
failregex = ^.*\[UFW BLOCK\] .*SRC=<HOST>.*$

Wahlweise nach einem oder zwei Versuchen (z.B. Tests auf Telnet-Port, allgemeine Port-Scans etc.) werden erneute Anfragen von der entsprechenden IP-Adresse für ein paar Stunden abgewiesen. Macht mit zunehmendem IPv6 natürlich irgendwann keinen Sinn mehr, aber aktuell gehts noch).

Damit man sich nicht selbst aussperrt bzw. Leute, die Zugriff haben dürfen, ist die „ignoreip“-Direktive mit diversen IP-Adressen gewhitelisted.

Als „banaction“ verwende ich immer die effiziente „iptables-ipset-proto6-allports.conf“, in der eine minimal angepasste Anweisung die IP-Adressen in die raw-Tabelle schiebt:

actionstart = ipset create fail2ban-<name> hash:ip
 iptables -t raw -A PREROUTING -m set --match-set fail2ban-<name> src -j DROP

Dadurch wird das Connection-Tracking umgangen; Informationen, dass die IP z.B. erneut geblockt wurde, interessieren mich im Logfile nicht – sondern rohe Geschwindigkeit beim Ablehnen. Eine Angewohnheit nach DDoS-Vorfällen.

Die IP-Adressen liste ich dann z.B. via „ipset list fail2ban-ufw-blocker“ auf:

Name: fail2ban-ufw-blocker
Type: hash:ip
Revision: 4
Header: family inet hashsize 1024 maxelem 65536
Size in memory: 896
References: 1
Members:
211.36.yyy.xxx
42.117.yyy.xxx
223.241.yyy.xxx
59.127.yyy.xxx
31.203.yyy.xxx
109.49.yyy.xxx
61.240.yyy.xxx
220.134.yyy.xxx

Und aus den WHOIS-Einträgen ergibt sich u.a. Seoul, Vietnam, 2x China, Kuwait, Lissabon, Taiwan…

The usual visits.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.