Antiscan - выявление и блокировка подозрительных IP

[dimon27254]

Antiscan - простой инструмент для выявления и блокировки IP с подозрительной активностью (например, сканеры портов и служб).

Предыстория от @FLK, поясняющая актуальность данного инструмента:

Цитата

Проблема массового сканирования портов становится очень актуальной при наличии белого статического адреса и открытых наиболее используемых портов (например 22, 80, 443), "смотрящих" в интернет. Раньше я не обращал внимание даже на количество подключений в разделе Диагностика - Активные подключения. Но недавно я решил посмотреть как там обстоят дела. И ужаснулся, когда увидел там цифру приближающуюся к 3000... 
Как правило при этом есть 3 типа проблемы, которые я наблюдал:
1) когда вас сканирует 1 ip, но при этом он может создавать очень много одновременных подключений (для примера 22.154.203.43 создаст 100 подключений к 443 порту)...
2) когда вас сканирует целая подсеть, но каждый ip создаёт при этом по 1 подключению (для примера - 202.124.233.5 создаст 1 подключение, 202.124.233.6 - 1 подключение, 202.124.233.7 - 1 подключение и т.д.)
3) когда вас сканирует 1 ip, создавая 1 подключение
Из перечисленных только третий вариант самый безобидный, как правило такое сканирование не раздражает и заканчивается быстро, да и отличить его от легитимного подключения крайне сложно. А вот с первым и вторым вариантом надо было как-то бороться.
В итоге я подал идею @dimon27254 как избавиться от этих надоедливых сканировщиков, а он уже стал ее реализовывать...
Мы начали с простых правил iptables, пробовали разные варианты, смотрели как это будет работать на практике на своих роутерах, в итоге получился достаточно рабочий интрумент, о котором и расскажет сам автор (которому я лично выражаю огромную благодарность) более подробно...

Antiscan представляет собой скрипт на shell с config-файлом и хук-скриптом netfilter.d. Предназначен для устройств Keenetic/Netcraze, поддерживающих Entware.

Возможности:
1) Блокировка хостов, открывающих множество соединений с одного IP-адреса.
2) Блокировка хостов, открывающих единичные соединения с множества IP, принадлежащих одной подсети /24.
3) Блокировка хостов по пользовательскому черному/белому списку.
4) Геоблокировка в режиме черного/белого списка.
5) Блокировка хостов с помощью "ловушки" (honeypot).

Требования для корректной работы скрипта:
1) Установленный компонент "Модули ядра для подсистемы Netfilter" (начиная с версии ПО 4.3 доступен без "Протокол IPv6").

Установка:
1. Выполнить команду:

opkg update && opkg install curl && curl -fsSL https://raw.githubusercontent.com/dimon27254/antiscan/refs/heads/main/install.sh | sh

2. Указать unix-имена интерфейсов интернет-подключений в файле "/opt/etc/antiscan/ascn.conf". В 4.3+ просмотр unix-имен интерфейсов доступен по команде:

show interface {интерфейс} system-name

3. Настроить остальные параметры под собственные нужды, если это требуется, в файле "/opt/etc/antiscan/ascn.conf".

4. Запустить Antiscan командой:

antiscan start

Для версий Antiscan 1.4 и выше доступна настройка с помощью web4static от @spatiumstas.

Важно: Antiscan является IPv4-only, работает только для протокола TCP.

Принцип работы:

Спойлер

1. При запуске скрипта создаются 3 ipset: ascn_ips, ascn_candidates и ascn_subnets.
ascn_ips - для блокировки ip, создавших множество соединений.
ascn_candidates - накапливает все ip, открывавшие соединения к указанным в ascn.conf портам.
ascn_subnets - для блокировки подсетей, хосты которых открывали единичные соединения с множества IP.

2. При превышении установленного общего порога одновременных соединений или количества соединений за определенное время, IP будет занесен в ascn_ips и заблокирован.

3. По расписанию запускается задача, обрабатывающая накопленные IP в ascn_candidates: 
3.1. Если количество адресов в одной подсети /24 превышает установленный в ascn.conf порог - вся подсеть /24 заносится в ascn_subnets и блокируется.
3.2. IP, принадлежащие заблокированным подсетям, удаляются из ascn_candidates, а оставшиеся продолжают накапливаться до следующей обработки.

4. По отдельному расписанию запускается задача, сохраняющая накопленные списки заблокированных IP и подсетей в файлы, если данный функционал был включен.
4.1. При перезагрузке устройства или перезапуске скрипта из сохраненных файлов будут восстановлены заблокированные IP и подсети.

5. Если вы настроили пользовательский белый/черный список адресов, то сначала входящий на порты трафик будет отфильтрован по ним. Далее уже будет выполнена проверка на множественные соединения или соединения с IP в пределах одной подсети.

6. Для пользовательского списка адресов-исключений или списка исключений по странам проверка средствами Antiscan не выполняется - такой трафик пропускается без каких-либо ограничений.

7. Если вы настроили чтение системных списков ограничения доступа по брутфорсу, то Antiscan сможет их скопировать в собственный ipset, где будет применена блокировка на постоянной основе или со сроком, бОльшим, чем позволяет NDMS.

8. Если вами настроена работа "ловушки", то будет производиться отслеживание всех входящих к её портам подключений и дальнейшая блокировка каждого хоста, инициирующего такое подключение.

Описание параметров в ascn.conf:

Спойлер

# Перечень интерфейсов, на которых работает Antiscan. Множество интерфейсов указывается через пробел, пример: "eth3 eth2.2 ppp0":
ISP_INTERFACES="eth3" 

# Перечень портов служб устройства, на которых работает Antiscan. Множество портов указывается через запятую, пример: "22,80,443":
PORTS="22,80,443"

# Перечень портов хостов в локальной сети, на которые идет перенаправление трафика. Пример ввода множества портов: "22,80,443".
# ОБРАТИТЕ ВНИМАНИЕ! Указываются порты из поля "направлять на порт" в правилах переадресации, а не "открыть порт".
PORTS_FORWARDED="22,80,443"

# Использовать блокировку хостов с помощью "ловушки". 0 - выключена, 1 - включена
ENABLE_HONEYPOT=0
# Перечень портов ловушки, на которых идет отслеживание входящих подключений. Пример ввода множества портов: "22,80,443".
HONEYPOT_PORTS=""

# Длительность блокировки IP ловушкой в секундах:   
HONEYPOT_BANTIME=864000

# Использовать блокировку хостов по накопленным IP/подсетям. 0 - выключена, 1 - включена
ENABLE_IPS_BAN=1
# Настройки ограничения множественных соединений:
# ДЛЯ ОПЫТНЫХ ПОЛЬЗОВАТЕЛЕЙ! Маска правил iptables для отслеживания соединений:
RULES_MASK="255.255.255.255"

# Время наблюдения за новыми соединениями с IP в секундах:
RECENT_CONNECTIONS_TIME=30 

# Пороговое значение новых соединений за период RECENT_CONNECTIONS_TIME, после которого IP будет заблокирован:
RECENT_CONNECTIONS_HITCOUNT=15    

# Общий лимит множественных соединений с одного адреса, после которого он будет заблокирован:
RECENT_CONNECTIONS_LIMIT=20 

# Длительность блокировки IP в секундах:     
RECENT_CONNECTIONS_BANTIME=864000   

# Настройки ограничения соединений с разных IP:
# Срок хранения IP-адресов-кандидатов на блокировку:
DIFFERENT_IP_CANDIDATES_STORAGETIME=864000

# Пороговое значение IP-кандидатов, начиная с которого будет создана подсеть для блокировки:
DIFFERENT_IP_THRESHOLD=5

# Длительность блокировки подсети в секундах:
SUBNETS_BANTIME=864000

# Путь к каталогу, внутри которого будут находиться все списки адресов. Пример: "/tmp/mnt/MYDISK/antiscan"
IPSETS_DIRECTORY=""

# Сохранять списки накопленных заблокированных IP и подсетей в файлы. 0 - выключено, 1 - включено
SAVE_IPSETS=0

# Сохранять списки накопленных заблокированных IP и подсетей при вызове antiscan stop. 0 - выключено, 1 - включено
SAVE_ON_EXIT=0

# Использовать пользовательский список адресов-исключений. 0 - выключено, 1 - включено
USE_CUSTOM_EXCLUDE_LIST=0

# Режим блокировки по пользовательским спискам. 0 - отключена, blacklist - черный список, whitelist - белый список
CUSTOM_LISTS_BLOCK_MODE=0

# Режим геоблокировки. 0 - отключена, blacklist - черный список, whitelist - белый список
GEOBLOCK_MODE=0

# Перечень стран для геоблокировки. Пример: одна страна - "US", множество стран - "RU DE"
GEOBLOCK_COUNTRIES=""

# Перечень стран-исключений. Пример: одна страна - "RU", множество стран - "RU DE"
GEO_EXCLUDE_COUNTRIES=""

# Чтение системных списков блокировки по ip lockout-policy. 0 - выключено, 1 - включено
READ_NDM_LOCKOUT_IPSETS=0

# Срок хранения записей, считанных из системных списков:
LOCKOUT_IPSET_BANTIME=864000

Описание задач в ascn_crontab.txt:

Спойлер

1. Период чтения списка кандидатов по умолчанию равен 1 минуте.
Текст задачи:

*/1 * * * * /opt/etc/init.d/S99ascn read_candidates &

2. Период чтения системных списков блокировки по умолчанию равен 2 минутам.

Текст задачи:

*/2 * * * * /opt/etc/init.d/S99ascn read_ndm_ipsets &

3. Списки адресов по умолчанию сохраняются каждые 5 дней в 00:00.
Текст задачи:

0 0 */5 * * /opt/etc/init.d/S99ascn save_ipsets &

4. Списки подсетей для геоблокировки по умолчанию обновляются каждые 15 дней в 00:05.
Текст задачи:

0 5 */15 * * /opt/etc/init.d/S99ascn update_ipsets geo &

Использование Antiscan:

{start|stop|restart|status|list|reload|flush|version|edit|update_rules|read_candidates|read_ndm_ipsets|save_ipsets|update_ipsets|update_crontab}
start                            начать работу скрипта (создать правила, ipset'ы, начать сбор IP)
stop                             остановить работу скрипта (удалить правила, очистить ipset'ы, отменить блокировку)
restart                          остановить и заново начать работу скрипта
status                           отобразить статус работы Antiscan

list {ips|subnets|ndm_lockout|honeypot}   
                                 отобразить список и количество заблокированных IP/подсетей
								 
reload                           обновить конфигурацию Antiscan (перечитать файл ascn.conf)

flush [candidates|ips|subnets|custom_whitelist|custom_blacklist|custom_exclude|geo|ndm_lockout|honeypot]
                                 очистить списки адресов и удалить их файлы

version                          отобразить версию установленного Antiscan

edit {config|crontab|custom_exclude|custom_blacklist|custom_whitelist}
                                 редактировать конфигурационные файлы Antiscan или пользовательские списки

update_rules                     проверить наличие правил iptables, и добавить их при отсутствии (для hook-скрипта netfilter.d)
read_candidates                  обработать список адресов кандидатов для блокировки по подсетям (запускается вручную или по расписанию)
read_ndm_ipsets                  считать системные списки блокировки по ip lockout-policy (запускается вручную или по расписанию)
save_ipsets                      сохранить списки накопленных адресов в файлы (запускается вручную или по расписанию)
update_ipsets {custom|geo}       обновить пользовательские списки адресов или подсети для геоблокировки (запускается вручную или по расписанию)
update_crontab                   обновить задачи Antiscan в файле crontab

История версий:

Спойлер

Версия 1.10:

Новое:

1) Исключения по странам.
2) Управление состоянием блокировки по накопленным IP/подсетям.
3) Управление состоянием работы "ловушки".

Улучшения:

1) Повышена надежность загрузки списка подсетей стран.
2) Разделение исходного кода Antiscan на модули (предложил @eralde).

Исправления:

1) Если в GEOBLOCK_COUNTRIES указать страну, для которой в RIPEstat нет IP-адресов, то Antiscan при загрузке возвращал ложно-положительный статус.
2) Работа команды antiscan edit config блокировалась при наличии ошибок в ascn.conf.
3) После редактирования пользовательского списка исключений с помощью команды antiscan edit custom_exclude, в консоли могло появляться сообщение sh: bad number.

Версия 1.9:

Новое:

1) Редактирование конфигурационных файлов Antiscan и пользовательских списков по команде antiscan edit.

Улучшения:

1) Оптимизирована загрузка подсетей геоблокировки.

Исправления:

1) Доступ из интернета к защищаемым портам блокировался, если были установлены параметры CUSTOM_LISTS_BLOCK_MODE=whitelist или GEOBLOCK_MODE=whitelist и вызывалась очистка соответствующих списков.

Версия 1.8.1:

Улучшения:

1) Оптимизирована работа с cron (сообщил @Denis P).
2) Обновлен внешний вид сообщений Antiscan в консоли (предложил @spatiumstas).

Версия 1.8:

Новое:

1) Блокировка адресов с помощью "ловушки" (honeypot) (предложил @odin).
2) Опциональное сохранение накопленных IP и подсетей по команде antiscan stop.

Улучшения:

1) Отображение версии Antiscan при вызове antiscan status.

Версия 1.7:

Новое:

1) Раздельная настройка защиты открытых и переадресованных портов.
2) Проверка корректности параметров, указанных в ascn.conf (сообщил @dom).
3) Вывод версии установленного Antiscan по команде antiscan version.

Исправления:

1) При READ_NDM_LOCKOUT_IPSETS=0 и вызове antiscan save или antiscan list ndm_lockout в консоли появлялось сообщение "ipset v7.21: The set with the given name does not exist".

Версия 1.6.1:

Улучшения:

1) Игнорирование IP 127.0.0.1 при чтении системных списков ограничения доступа (сообщил @MDP).

Версия 1.6:

Новое:

1) Чтение системных списков блокировки по брутфорсу (предложил @MDP).

Исправления:
1) В выводе команды antiscan list для пустого списка отображалось количество записей, равное 1.

Версия 1.5.3:

Исправления:

1) При вызове команды antiscan flush и отключенной геоблокировке отображалось излишнее сообщение о необходимости перезапуска Antiscan.

Версия 1.5.2:

Улучшения:

1) Исключено сохранение накопленных заблокированных IP и подсетей при вызове команды antiscan status (по просьбе @MDP).

Версия 1.5.1:

Исправления:

1) Списки ascn_ips и ascn_subnets не сохранялись в файлы при установленном параметре SAVE_IPSETS=1.

Версия 1.5:

Новое:

1) Вывод событий Antiscan в системный лог.
2) Фоновая дозагрузка списков подсетей геоблокировки при возникновении ошибок.

Улучшения:
1) Оптимизация загрузки списков подсетей геоблокировки.
2) Визуальное выделение в команде antiscan status стран, для которых не удалось загрузить список подсетей геоблокировки.
3) Сохранение накопленных заблокированных IP и подсетей при вызове команды antiscan status.

Версия 1.4:

Новое:
1) Новый путь для файлов конфигурации Antiscan: /opt/etc/antiscan.
2) Перенос cron-задач Antiscan в файл ascn_crontab.conf.
3) Поддержка пакета web4static от @spatiumstas.
4) Сохранение списков накопленных IP и подсетей при вызове команды antiscan restart.

Улучшения:
1) Для пользовательских списков более не требуется обязательное указание каталога в параметре IPSETS_DIRECTORY.

Версия 1.3.1:

Исправления:

1) В выводе antiscan status отображалось некорректное наименование пользовательского списка (сообщил @MDP).

Версия 1.3:

Новое:

1) Конвертация параметра IPSETS_SAVE_PATH в IPSETS_DIRECTORY в ascn.conf для соответствия новому функционалу Antiscan.
2) Пользовательский список адресов-исключений (предложил @MDP).
3) Пользовательский белый/черный список адресов.
4) Геоблокировка по черному/белому списку (предложил @Denis P).

Улучшения:

1) Реализована очистка адресов из списка ascn_ips, принадлежащих заблокированным подсетям (предложил @MDP).

Версия 1.2:

Новое:

1) Сохранение списка адресов кандидатов на блокировку в файл.
2) Защита устройств, подключенных к роутеру и использующих перенаправление портов (предложено @avn и @kaguyashaa).
3) Настройка маски для правил iptables (предложил @avn).
4) Ручная очистка списков адресов.

Улучшения:

1) Сохранение списков в файл теперь не требует бессрочного хранения записей (сообщил @snark).
2) Упрощен вызов Antiscan из консоли.

Исправления:

1) Правила iptables не обновлялись при вызове reload, если в ascn.conf изменялись параметры ограничения множественных соединений.
2) При обновлении Antiscan в консоли появлялась ненужная строка "/opt/etc/ascn.conf".

Версия 1.1:

Новое (предложено @MDP и @kaguyashaa):
1) Бессрочное хранение адресов в ipset.
2) Сохранение списков заблокированных адресов и подсетей в память с возможностью дальнейшего восстановления после повторного запуска.

Исправления:
1) При удалении/переустановке пакета файл crontab не очищается от задач Antiscan, если в них вносились изменения.

Версия 1.0:
Первый релиз

Списки заблокированных IP/подсетей от пользователей Antiscan:

Спойлер

1. Список от @odin.
2. Список от @MDP.
3. Список от @FLK.

Исходный код доступен на github:
https://github.com/dimon27254/antiscan

Изменено 18 часов назад пользователем dimon27254

[FLK]

От себя добавлю - штука эта имеет "накопительный" эффект - чем дольше работает, тем меньше мух летит на роутер)))) Главное не заиграться и самого себя в бан не отправить))))

Себе поставил

DIFFERENT_IP_THRESHOLD=3

Изменено 14 мая пользователем FLK

[MDP]

20 минут назад, FLK сказал:

От себя добавлю - штука эта имеет "накопительный" эффект - чем дольше работает, тем меньше мух летит на роутер)))) Главное не заиграться и самого себя в бан не отправить))))

Себе поставил

DIFFERENT_IP_THRESHOLD=3

Список заблокированных хостов и подсетей хранится в ОЗУ ? Или на флешке?

 

[dimon27254]

1 минуту назад, MDP сказал:

Список заблокированных хостов и подсетей хранится в ОЗУ ? Или на флешке?

Списки заблокированных хостов и подсетей представляют собой ipset. Они не сохраняются где-либо в памяти роутера/флешки, и при каждой перезагрузке будут наполняться заново по мере поступления запросов на порты.

[MDP]

5 минут назад, dimon27254 сказал:

Списки заблокированных хостов и подсетей представляют собой ipset. Они не сохраняются где-либо в памяти роутера/флешки, и при каждой перезагрузке будут наполняться заново по мере поступления запросов на порты.

Так...очень интересно, а реализовать сохранение в какой нибудь файл с некой периодичностью, а после перезагрузки формировать ipset из файла обратно реализуемо?

[dimon27254]

1 минуту назад, MDP сказал:

Так...очень интересно, а реализовать сохранение в какой нибудь файл с некой периодичностью, а после перезагрузки формировать ipset из файла обратно реализуемо?

В целом, такое возможно. Однако, изначально я решил это не реализовывать, так как потребуется постоянная периодическая запись ipset на флешку/внутреннюю память, что может негативно сказаться на их ресурсе.

[MDP]

...ещё бы сюда какую нибудь финтифлюшку приделать для защиты от брутфорсинга )))) ...вообще была бы "бомба". 

я осознаю , что без анализа логов на предмет авторизации отдельных служб такого не сделать...да и есть отдельные приложения типа fail2ban...

[FLK]

1 минуту назад, MDP сказал:

...ещё бы сюда какую нибудь финтифлюшку приделать для защиты от брутфорсинга )))) ...вообще была бы "бомба". 

я осознаю , что без анализа логов на предмет авторизации отдельных служб такого не сделать...да и есть отдельные приложения типа fail2ban...

Тут только от надоедливых сканеров)

[Denis P]

7 минут назад, MDP сказал:

...ещё бы сюда какую нибудь финтифлюшку приделать для защиты от брутфорсинга )))) ...вообще была бы "бомба". 

я осознаю , что без анализа логов на предмет авторизации отдельных служб такого не сделать...да и есть отдельные приложения типа fail2ban...

зачем? это ведь уже есть из коробки

[MDP]

Только что, Denis P сказал:

зачем? это ведь уже есть из коробки

Хотелось бы перманентно блокировать...а тут до перезагрузки, или только на некоторый временной интервал.

 

[dimon27254]

1 минуту назад, MDP сказал:

Хотелось бы перманентно блокировать...а тут до перезагрузки, или только на некоторый временной интервал.

Перманентная блокировка может сыграть злую шутку в неподходящий момент.. а если вы случайно сами себя удаленно заблокируете?

[Denis P]

13 минут назад, MDP сказал:

Хотелось бы перманентно блокировать...а тут до перезагрузки, или только на некоторый временной интервал.

 

если сильно хочется, можно системные наборы себе в файл хоронить, их легко опознать по признаку _NDM_BFD

Изменено 14 мая пользователем Denis P

[avn]

В 14.05.2025 в 13:57, Denis P сказал:

если сильно хочется, можно системные наборы себе в файл хоронить, их легко опознать по признаку _NDM_BFD

Если требуется защитить сторонние сервисы, которые находятся не на роутере (другое устройство со свои ip) - данный способ работать не будет. Таффик не будет проходить через INPUT.

Изменено 15 мая пользователем avn

[avn]

Способ интересный. Решил потестить

Спойлер

PORTS="80,443,22,8443,53"
if [ "$type" == "iptables" ]; then
	EXCLUDE_IPSET=localnet4
	IPSET=blockscan4
	MASK=255.255.255.0
	MASKINT=24
else
	EXCLUDE_IPSET=localnet6
	IPSET=blockscan6
	MASK=ffff:ffff:ffff:ff00::
	MASKINT=56
fi;

# Block scan
ipt _NDM_ACL_IN -t filter -i eth3 -p tcp -m multiport --dports $PORTS -m set ! --match-set ${EXCLUDE_IPSET} src -m connlimit --connlimit-mask $MASKINT --connlimit-above 20 -j SET --add-set $IPSET src
ipt _NDM_ACL_IN -t filter -i eth3 -p tcp -m multiport --dports $PORTS -m set ! --match-set ${EXCLUDE_IPSET} src -m conntrack --ctstate NEW -m recent --name $IPSET --mask $MASK --rsource --update --seconds 30 --hitcount 15 -j SET --add-set $IPSET src
ipt _NDM_ACL_IN -t filter -i eth3 -p tcp -m multiport --dports $PORTS -m set ! --match-set ${EXCLUDE_IPSET} src -m conntrack --ctstate NEW -m recent --name $IPSET --mask $MASK --rsource --set
ipt _NDM_ACL_IN -t filter -i eth3 -p tcp -m multiport --dports $PORTS -m set ! --match-set ${EXCLUDE_IPSET} src -j SET --add-set $IPSET-buf src
ipt _NDM_ACL_IN -t filter -i eth3 -p tcp -m multiport --dports $PORTS -m set --match-set $IPSET src -j DROP

 

 

_NDM_ACL_IN

Использую, т.к. проходит через input и forward

 

 

 

Изменено 15 мая пользователем avn

[Denis P]

3 минуты назад, avn сказал:

Если требуется защитить сторонние сервисы, которые находятся не на роутере (другое устройство со свои ip) - данный способ работать не будет. Таффик не будет проходить через INPUT.

Речь была только о возможности сохранения системных наборов с "плохими адресами" в файл, при чем тут сторонние сервисы вообще? Этого никто не обещал.

[avn]

1 минуту назад, Denis P сказал:

Речь была только о возможности сохранения системных наборов с "плохими адресами" в файл, при чем тут сторонние сервисы вообще? Этого никто не обещал.

Ошибся цитатой, не Вам.

[FLK]

За пару дней работы получил такой вот результат)))

[MDP]

Тем, у кого серые IP наверное не актуально использовать данную программу.

[FLK]

3 минуты назад, MDP сказал:

Тем, у кого серые IP наверное не актуально использовать данную программу.

Ну собственно да, не актуально практически

В основном она для белой статики как и написано в первом сообщении)

Изменено 15 мая пользователем FLK

[kaguyashaa]

Пожелания:
1) Сохранение заблокированных IP и подсетей + возможность банить перманентно
2) Возможность импортировать свои списки подсетей и ip  для превентивного бана

[FLK]

5 минут назад, kaguyashaa сказал:

Пожелания:
1) Сохранение заблокированных IP и подсетей + возможность банить перманентно
 

в версии 1.1 будет

Она пока на тесте, по первым впечатлениям работает)

Изменено 17 мая пользователем FLK

[kaguyashaa]

Кстати, а оно работает только на TCP или ещё на UDP?

[dimon27254]

4 часа назад, kaguyashaa сказал:

Кстати, а оно работает только на TCP или ещё на UDP?

Только на TCP.

[FLK]

5 часов назад, kaguyashaa сказал:

Кстати, а оно работает только на TCP или ещё на UDP?

Идея была в защите роутера от сканеров портов (обычно это 22. 80, 443 и другие им подобные)

[dimon27254]

Вышла новая версия 1.1.

Новое (предложено @MDP и @kaguyashaa)
1) Бессрочное хранение адресов в ipset.
Укажите "0" в параметрах длительности блокировки конфига ascn.conf. Пример:

RECENT_CONNECTIONS_BANTIME=0
SUBNETS_BANTIME=0

2) Сохранение списков заблокированных адресов и подсетей в память с возможностью дальнейшего восстановления после повторного запуска.
Настройка осуществляется с помощью параметров "SAVE_IPSETS", "IPSETS_SAVE_PATH".
По умолчанию сохранение выключено. Для включения укажите "1" в параметре "SAVE_IPSETS", а также путь к каталогу, где планируете хранить списки адресов в "IPSETS_SAVE_PATH". Пример:

SAVE_IPSETS=1
IPSETS_SAVE_PATH="/tmp/mnt/MYDISK/antiscan"

Обратите внимание: при включенном сохранении адресов игнорируются установленные значения длительности блокировки адресов и подсетей - автоматически включается "бессрочное" хранение.

Сохранение списков производится с помощью задачи в cron каждые 5 дней в 00:00. Период изменяется аналогично задаче чтения кандидатов, текст задачи:
0 0 */5 * * /opt/etc/init.d/S99ascn save_ipsets &

Исправления:
1) При удалении/переустановке пакета файл crontab не очищается от задач Antiscan, если в них вносились изменения.

Изменено 12 июня пользователем dimon27254

[dimon27254]

7 часов назад, kaguyashaa сказал:

Возможность импортировать свои списки подсетей и ip  для превентивного бана

В версии 1.1 появилась возможность загрузки списков IP и подсетей из файлов.

Включите функционал сохранения в файлы: SAVE_IPSETS=1
Укажите путь к каталогу, где будут храниться файлы со списками заблокированных адресов: IPSETS_SAVE_PATH="/tmp/mnt/MYDISK/antiscan"

При запуске Antiscan будет искать в указанном каталоге файлы ipset_ascn_ips.txt и ipset_ascn_subnets.txt. Файлы должны быть в читаемом для команды ipset restore виде.
Пример для ipset_ascn_ips.txt:

create ascn_ips hash:ip family inet hashsize 1024 maxelem 65536
add ascn_ips 1.2.3.4
add ascn_ips 5.6.7.8

Пример для ipset_ascn_subnets.txt:

create ascn_subnets hash:net family inet hashsize 1024 maxelem 65536
add ascn_subnets 1.2.3.0/24
add ascn_subnets 4.5.6.0/24

Изменено 17 мая пользователем dimon27254

[snark]

Достойное приложение, но зачем при включении сохранения адресов включается "бессрочное" хранение? Допустим будет аптайм год, зачем хранить в таблице и бекапе кучу адресов годовой давности, которые скорее всего и не принадлежат сканботам и прочим злоумышленникам

[dimon27254]

4 часа назад, snark сказал:

Достойное приложение, но зачем при включении сохранения адресов включается "бессрочное" хранение? Допустим будет аптайм год, зачем хранить в таблице и бекапе кучу адресов годовой давности, которые скорее всего и не принадлежат сканботам и прочим злоумышленникам

Бессрочное хранение включается только для списков заблокированных IP и подсетей. Список кандидатов на блокировку продолжает хранить записи в соответствии с установленным в конфиге сроком (DIFFERENT_IP_CANDIDATES_STORAGETIME), если вы явно не установите 0. При этом, кандидаты не сохраняются в постоянной памяти вовсе - при каждой перезагрузке роутера/скрипта они будут наполняться заново.

Вариант с аптаймом устройства в год я полноценно не рассматривал, т.к. лично у меня роутер работает от обновления к обновлению.
Однако, в данном случае на длительном аптайме полноценную точечную очистку записей реализовать не представляется возможным - максимальный срок хранения записей в ipset при использовании timeout составляет 2147483 секунды, что чуть меньше 25 дней. Ввиду этого ограничения при SAVE_IPSETS=1 значение timeout для ascn_ips и ascn_subnets полностью исключается и записи хранятся без срока.

Могу, например, к следующей версии исключить принудительную установку "бессрочного" хранения для ipset, чтобы вы могли и дальше устанавливать свой таймаут. Однако, в этом случае я не вижу смысла в сохранении в файлы вовсе, если, условно говоря, через день/несколько часов записи все равно удалятся.

Или есть вариант реализовать дополнительную задачу в cron, которая будет, например, раз в 3 месяца принудительно очищать все ipset и удалять сохраненные файлы, чтобы они могли наполняться "с нуля".

Изменено 18 мая пользователем dimon27254

[avn]

4 часа назад, dimon27254 сказал:

Бессрочное хранение включается только для списков заблокированных IP и подсетей. Список кандидатов на блокировку продолжает хранить записи в соответствии с установленным в конфиге сроком (DIFFERENT_IP_CANDIDATES_STORAGETIME), если вы явно не установите 0. При этом, кандидаты не сохраняются в постоянной памяти вовсе - при каждой перезагрузке роутера/скрипта они будут наполняться заново.

Вариант с аптаймом устройства в год я полноценно не рассматривал, т.к. лично у меня роутер работает от обновления к обновлению.
Однако, в данном случае на длительном аптайме полноценную точечную очистку записей реализовать не представляется возможным - максимальный срок хранения записей в ipset при использовании timeout составляет 2147483 секунды, что чуть меньше 25 дней. Ввиду этого ограничения при SAVE_IPSETS=1 значение timeout для ascn_ips и ascn_subnets полностью исключается и записи хранятся без срока.

Могу, например, к следующей версии исключить принудительную установку "бессрочного" хранения для ipset, чтобы вы могли и дальше устанавливать свой таймаут. Однако, в этом случае я не вижу смысла в сохранении в файлы вовсе, если, условно говоря, через день/несколько часов записи все равно удалятся.

Или есть вариант реализовать дополнительную задачу в cron, которая будет, например, раз в 3 месяца принудительно очищать все ipset и удалять сохраненные файлы, чтобы они могли наполняться "с нуля".

Для правил iptables сразу маску /24 добавили? Вы же все равно ip кандидатов агрегируете по маске 24. Так пусть и правила работают по маске /24.

[dimon27254]

12 минут назад, avn сказал:

Для правил iptables сразу маску /24 добавили? Так пусть и правила работают по маске /24.

Не совсем понял, что вы имеете ввиду и в каких именно из правил.
Для connlimit я маску не указываю явно, она автоматически ставится /32.