Antiscan - выявление и блокировка подозрительных IP

[FLK]

5 часов назад, dimon27254 сказал:

Бессрочное хранение включается только для списков заблокированных IP и подсетей. Список кандидатов на блокировку продолжает хранить записи в соответствии с установленным в конфиге сроком (DIFFERENT_IP_CANDIDATES_STORAGETIME), если вы явно не установите 0. При этом, кандидаты не сохраняются в постоянной памяти вовсе - при каждой перезагрузке роутера/скрипта они будут наполняться заново.

Вариант с аптаймом устройства в год я полноценно не рассматривал, т.к. лично у меня роутер работает от обновления к обновлению.
Однако, в данном случае на длительном аптайме полноценную точечную очистку записей реализовать не представляется возможным - максимальный срок хранения записей в ipset при использовании timeout составляет 2147483 секунды, что чуть меньше 25 дней. Ввиду этого ограничения при SAVE_IPSETS=1 значение timeout для ascn_ips и ascn_subnets полностью исключается и записи хранятся без срока.

Могу, например, к следующей версии исключить принудительную установку "бессрочного" хранения для ipset, чтобы вы могли и дальше устанавливать свой таймаут. Однако, в этом случае я не вижу смысла в сохранении в файлы вовсе, если, условно говоря, через день/несколько часов записи все равно удалятся.

Или есть вариант реализовать дополнительную задачу в cron, которая будет, например, раз в 3 месяца принудительно очищать все ipset и удалять сохраненные файлы, чтобы они могли наполняться "с нуля".

Мне кажется весь смысл был в том, чтоб накопить и сохранить хулиганов и накрыть их медным тазом)

[avn]

1 час назад, dimon27254 сказал:

Не совсем понял, что вы имеете ввиду и в каких именно из правил.
Для connlimit я маску не указываю явно, она автоматически ставится /32. 

Connlimit, receipt

[MDP]

13 минут назад, FLK сказал:

Мне кажется весь смысл был в том, чтоб накопить и сохранить хулиганов и накрыть их медным тазом)

Совершенно верно. Чтобы после перезагрузки не накапливать заново. Сейчас подумал... возможно эта фича не оправдана?!  Особенно, если сканируют с какого нибудь динамического адреса.

Изменено 18 мая пользователем MDP

[MDP]

Хорошо так отсеивает ...

 

[FLK]

5 минут назад, MDP сказал:

Хорошо так отсеивает ...

 

Вижу знакомых ребят))))

[kaguyashaa]

Можно потом кстати собрать список таких любителей посканировать и выложить отдельно чтоб сразу импортировать и блокировать.

Ещё интересно если у меня проброшен в локалку порт 443 для Nginx то его тоже будет обрабатывать и при необходимости ip блокировать?

[FLK]

28 минут назад, kaguyashaa сказал:

Можно потом кстати собрать список таких любителей посканировать и выложить отдельно чтоб сразу импортировать и блокировать.

У каждого и так все соберется)

[avn]

2 часа назад, kaguyashaa сказал:

Ещё интересно если у меня проброшен в локалку порт 443 для Nginx то его тоже будет обрабатывать и при необходимости ip блокировать?

Нет

Изменено 18 мая пользователем avn

[MDP]

Исходя из каких соображений подсетям для блокирования выбрана маска /24 ? 

Подсети разные же бывают.

 

[dimon27254]

17 минут назад, MDP сказал:

Исходя из каких соображений подсетям для блокирования выбрана маска /24 ? 

Подсети разные же бывают.

/24 мной была выбрана намеренно, т.к. по ней можно легко и быстро отслеживать и подсчитывать "похожие" адреса, просто проверяя совпадение первых трех октетов, т.е. 1.2.3.1, 1.2.3.14, 1.2.3.94 и так далее. Если количество "похожих" адресов больше порогового, на основе этих же трех октетов создается запись в ipset 1.2.3.0/24 для блокировки подсети целиком.

С /23, /22 и более крупными такой "фокус" уже не пройдет.

В данном направлении улучшений я пока что не планирую.

Изменено 19 мая пользователем dimon27254

[avn]

6 минут назад, dimon27254 сказал:

/24 мной была выбрана намеренно, т.к. по ней можно легко и быстро отслеживать и подсчитывать "похожие" адреса, просто проверяя совпадение первых трех октетов, т.е. 1.2.3.1, 1.2.3.14, 1.2.3.94 и так далее. Если количество "похожих" адресов больше порогового, на основе этих же трех октетов создается запись в ipset 1.2.3.0/24 для блокировки подсети целиком.

С /23, /22 и более крупными такой "фокус" уже не пройдет.

В данном направлении улучшений я пока что не планирую.

zapret ip2net

 

Изменено 19 мая пользователем avn

[dimon27254]

@avn об ip2net мне известно, уже пользовался им ранее.

Однако, он работает только с конкретными адресами, и не сворачивает уже имеющиеся подсети в более крупные - просто выдает их без изменений.

Тогда может получиться ещё больше записей в ipset, чем сейчас, если не делать тонкую настройку.

[FLK]

56 минут назад, MDP сказал:

Исходя из каких соображений подсетям для блокирования выбрана маска /24 ? 

Подсети разные же бывают.

 

/24 аккуратнеько банит, этого вполне достаточно по ощущениям

Если уж так хочется что-то свернуть и компактизировать - открываем файлики, удаляем, сворачиваем в /23-/16 например, заливаем обратно, радуемся)

Пока, честно говоря, даже не думал об этом) Все и так устраивает

Изменено 19 мая пользователем FLK

[MDP]

8 минут назад, FLK сказал:

/24 аккуратнеько банит, этого вполне достаточно по ощущениям

Если уж так хочется что-то свернуть и компактизировать - открываем файлики, удаляем, сворачиваем в /23-/16 например, заливаем обратно, радуемся)

Банит то он отлично...просто под замес могут попасть и добропорядочные адреса. 🙂

Попробую поставить 

DIFFERENT_IP_THRESHOLD=254 

Это получается, что будут блокироваться конкретные IP ? Подсеть заблокируется если совсем уж всё..

Изменено 19 мая пользователем MDP

[dimon27254]

3 минуты назад, MDP сказал:

Банит то он отлично...просто под замес могут попасть и добропорядочные адреса. 🙂

По моему мнению, вероятность того, что в одной подсети со злоумышленниками, делающими свои грязные дела с нескольких адресов, будет легитимный клиент - крайне мала)

3 минуты назад, MDP сказал:

Попробую поставить 

DIFFERENT_IP_THRESHOLD=254 

Это получается, что будут блокироваться конкретные IP ?

В этом случае подсеть не будет заблокирована, пока в ней не "соберётся" 254 адреса.

[FLK]

8 минут назад, MDP сказал:

Банит то он отлично...просто под замес могут попасть и добропорядочные адреса. 🙂

Попробую поставить 

DIFFERENT_IP_THRESHOLD=254 

Это получается, что будут блокироваться конкретные IP ? Подсеть заблокируется если совсем уж всё..

Это слишком много, можно сделать 5-10-20 например. По умолчанию вроде мы делали 5, я наоборот срезаю, если есть хотя бы 3...

[MDP]

2 часа назад, dimon27254 сказал:

/24 мной была выбрана намеренно, т.к. по ней можно легко и быстро отслеживать и подсчитывать "похожие" адреса, просто проверяя совпадение первых трех октетов, т.е. 1.2.3.1, 1.2.3.14, 1.2.3.94 и так далее. Если количество "похожих" адресов больше порогового, на основе этих же трех октетов создается запись в ipset 1.2.3.0/24 для блокировки подсети целиком.

С /23, /22 и более крупными такой "фокус" уже не пройдет.

В данном направлении улучшений я пока что не планирую.

Ну так то можно подумать...если сравнивать не октетами в десятичной форме, а в двоичной. ...сначала все адреса проверяются на группировку по маске /31 (последний бит не учитывать в сравнении), потом сгруппированные проверяются на возможность группирования по маске /30 (два бита последние не учитывать) ...и т.д до /0   )))))

Ну так то да...в скриптах я не силён, наверное сложно этот алгоритм реализовать.

[FLK]

В 19.05.2025 в 18:20, MDP сказал:

в скриптах я не силён

Мы тоже так себе 😂 

1.2 на подходе...

Изменено 21 мая пользователем FLK

[dimon27254]

Вышла новая версия 1.2.

Новое:

1) Сохранение списка адресов кандидатов на блокировку в файл.

2) Защита устройств, подключенных к роутеру и использующих перенаправление портов (предложено @avn и @kaguyashaa).
Обратите внимание: в "PORTS" необходимо будет указать номер порта устройства (поле "направлять на порт" в веб-интерфейсе), на который направляется трафик, а не номер, который "смотрит" в интернет ("открыть порт").

3) Настройка маски для правил iptables (предложил @avn).

RULES_MASK="255.255.255.255"

Значением по умолчанию является 255.255.255.255 (/32), что соответствует версиям 1.0 и 1.1. 
При необходимости вы можете установить иное значение, например, 255.255.255.0. Это расширит "область наблюдения" за множественными соединениями - в этом случае IP, принадлежащие одной подсети /24 и превышающие установленные в конфиге пороги, будут вноситься в список блокировки.

4) Ручная очистка списков адресов.

/opt/etc/init.d/S99ascn flush

Можно очистить как все три списка - кандидатов на блокировку, заблокированных IP и подсетей, так и каждый по отдельности. Пример:

/opt/etc/init.d/S99ascn flush subnets

Будет выполнена очистка ipset'ов, а затем удалены с накопителя файлы соответствующих списков.

Улучшения:

1) Сохранение списков в файл теперь не требует бессрочного хранения записей (сообщил @snark).
Обратите внимание: если в 1.1 у вас было включено сохранение списков, то при обновлении на 1.2 значение параметров RECENT_CONNECTIONS_BANTIME и SUBNETS_BANTIME автоматически изменится на "0" - бессрочное хранение, что будет соответствовать логике версии 1.1. Измените данные значения, если вам не требуется бессрочное хранение.

2) Упрощен вызов Antiscan из консоли.
Вместо /opt/etc/init.d/S99ascn в консоли можно вводить просто antiscan. Пример:

antiscan status

Исправления:

1) Правила iptables не обновлялись при вызове reload, если в ascn.conf изменялись параметры ограничения множественных соединений.
2) При обновлении Antiscan в консоли появлялась ненужная строка "/opt/etc/ascn.conf".

В заголовке темы версия пакета была обновлена до 1.2.
Предыдущие версии доступны на GitHub.

[MDP]

пакет wget-ssl после установки как-то донастраивать надо?

[dimon27254]

Только что, MDP сказал:

пакет wget-ssl после установки как-то донастраивать надо?

Нет. Установили wget-ssl, затем сразу же вводите команду для установки Antiscan.

[MDP]

1 минуту назад, dimon27254 сказал:

Нет. Установили wget-ssl, затем сразу же вводите команду для установки Antiscan.

 

 

[dimon27254]

5 минут назад, MDP сказал:

 

А если в консоли ввести:

wget https://github.com/dimon27254/antiscan/releases/download/1.2/antiscan_1.2_all.ipk

Какой будет результат?

[MDP]

5 минут назад, dimon27254 сказал:

А если в консоли ввести:

wget https://github.com/dimon27254/antiscan/releases/download/1.2/antiscan_1.2_all.ipk

Какой будет результат?

что-то не эсэселит )))) .сертификаты не устанавливаются.

Может http попробовать?

 

[MDP]

Ну я вручную пакет поставлю с антисканом...так просто попробовать решил.

[dimon27254]

4 минуты назад, MDP сказал:

что-то не эсэселит )))) .сертификаты не устанавливаются.

Может http попробовать?

Какая-то проблема с вашей стороны
Может быть, не обновляли Entware давно.

Только что сейчас проверил, онлайн установка на свежем Entware работает корректно:

Спойлер

 

По HTTP пробовать бессмысленно, там идет переадресация на HTTPS:

Спойлер

 

Изменено 23 мая пользователем dimon27254

[MDP]

Да вроде свежий entware. 

 

[dimon27254]

5 минут назад, MDP сказал:

Да вроде свежий entware. 

Неполадка с сертификатами у вас какая-то, wget не может проверить сертификат, отдаваемый github.
Попробуйте в Entware переустановить ca-bundle:

opkg install ca-bundle --force-reinstall

Изменено 23 мая пользователем dimon27254

[MDP]

20 минут назад, dimon27254 сказал:

Неполадка с сертификатами у вас какая-то, wget не может проверить сертификат, отдаваемый github.
Попробуйте в Entware переустановить ca-bundle:

opkg install ca-bundle --force-reinstall

заработало.

Изменено 23 мая пользователем MDP

[MDP]

Продолжаем паранойю...

Сообщение информационное появилось единичное.

May 23 16:57:50 ndm
Info: Opkg::Manager: /opt/etc/ndm/netfilter.d/099-ascn.sh: iptables: Resource temporarily unavailable.

... ни на что не повлияло естественно....