Skocz do zawartości
giver

Skanowanie portów przez rosyjskie booty

Polecane posty

Śr. parę razy na godz. ktoś z Rosji skanuje mi porty, dokładnie 445 i 135, oczywiście zdażają się inne, ale te najczęściej. Metoda to TCP SYN. Kończy się tylko na tym - twierdze tak na podstawie analizy logów innych usług :)

Czy ktoś miał problem z tym bootem? Czy tylko skanuje porty czy próbuje później dostać się do serwera? Próbowałem wyciąć od razu całą klasę, ale za każdym razem jest adres IP z innej klasy.

A może pozwolić tylko na ruch z Polski? Strona i tak przeznaczona tylko praktycznie dla Polaków - co o tym sądzicie?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Śr. parę razy na godz. ktoś z Rosji skanuje mi porty, dokładnie 445 i 135, oczywiście zdażają się inne, ale te najczęściej. Metoda to TCP SYN. Kończy się tylko na tym - twierdze tak na podstawie analizy logów innych usług :)

Czy ktoś miał problem z tym bootem? Czy tylko skanuje porty czy próbuje później dostać się do serwera? Próbowałem wyciąć od razu całą klasę, ale za każdym razem jest adres IP z innej klasy.

A może pozwolić tylko na ruch z Polski? Strona i tak przeznaczona tylko praktycznie dla Polaków - co o tym sądzicie?

 

Fail 2 Ban.

http://www.fail2ban.org/wiki/index.php/Main_Page

Działa doskonale.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie mogłem edytować masz tutaj pare regułek do iptables

# Metoda ACK (nmap -sA)
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK  -m limit --limit 1/hour #-j LOG --log-prefix " $LOG Skanowanie ACK"
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP

# Skanowanie FIN (nmap -sF)
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN  -m limit --limit 1/hour #-j LOG --log-prefix " $LOG Skanowanie FIn"
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP

# Metoda Xmas Tree (nmap -sX)
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH  -m limit --limit 1/hour #-j LOG --log-prefix " $LOG Skanowanie Xmas Tre"
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP

# Skanowanie Null (nmap -sN)
iptables -A INPUT -m conntrack --ctstate INVALID -p tcp --tcp-flags ! SYN,RST,ACK,FIN,PSH,URG SYN,RST,ACK,FIN,PSH,URG  -m limit --limit 1/hour #-j LOG --log-prefix " $LOG Skanowanie Null"
iptables -A INPUT -m conntrack --ctstate INVALID -p tcp --tcp-flags ! SYN,RST,ACK,FIN,PSH,URG SYN,RST,ACK,FIN,PSH,URG -j DROP

# Lancuch syn-flood (obrona przed DoS)
iptables -N syn-flood
iptables -A INPUT -p tcp --syn -j syn-flood
iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 #-j LOG --log-level debug --log-prefix "SYN-FLOOD: "
iptables -A syn-flood -j DROP
iptables -A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

 

iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT 
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×