Antiscan - выявление и блокировка подозрительных IP

[avn]

32 минуты назад, dimon27254 сказал:

@FLK прав, наиболее "ресурсоемкой" задачей является свёртывание адресов-кандидатов в подсети.

Я тестировал на списке из 11 тысяч адресов, на KN-1012 обработка занимала около двух секунд.

В реальности, конечно, такие списки кандидатов могут собраться только при неработающем cron 😅

Я рассмотрю ваше предложение по очистке ascn_ips при нахождении совпадения в ascn_subnets. 

ip2net прекрасно с этим справляется. Причем ступенчато, может сначало /26 потом /25 и т.д.

[FLK]

2 часа назад, avn сказал:

ip2net прекрасно с этим справляется. Причем ступенчато, может сначало /26 потом /25 и т.д.

Не приоритетная на данный момент задача. Возможно когда-нибудь

По поводу предложения об удалении заблокированных ip, если их подсеть уже забанена, надо действительно подумать и протестировать на работоспособность) По логике - все должно работать как надо, посмотрим

Изменено 30 мая пользователем FLK

[dimon27254]

12 часов назад, avn сказал:

ip2net прекрасно с этим справляется. Причем ступенчато, может сначало /26 потом /25 и т.д.

Предложите вариант "ступенчатого" использования ip2net, когда он будет группировать уже имеющиеся подсети /24 (не конкретные IP) в более крупные /23, /22, /21, /20 и т.д. Это было бы действительно полезное его применение.

По документации и своим тестам я вижу, что ip2net собирает только IP, а уже готовые подсети игнорирует и выдает без изменений.

Если и использовать ip2net для "сборки" кандидатов, то мне пока непонятно, как потом очищать исходный список кандидатов при подсетях крупнее /24, ведь через grep/sed уже не найдется соответствие, например, для 1.1.1.4 и 1.1.0.0/22.

Изменено 30 мая пользователем dimon27254

[MDP]

Могу ли я в файле ipset_ascn_subnets.txt самостоятельно добавлять подсети, оптимизировать вручную...?

Допустим у меня 256 подсетей подряд с маской 24 собралось...я их из файла удаляю и пишу одну подсеть с маской 16 ???  Или всё это зря будет при следующем сохранении всё перезапишется.

Изменено Среда в 06:06 пользователем MDP

[MDP]

В 19.05.2025 в 15:42, FLK сказал:

/24 аккуратнеько банит, этого вполне достаточно по ощущениям

Если уж так хочется что-то свернуть и компактизировать - открываем файлики, удаляем, сворачиваем в /23-/16 например, заливаем обратно, радуемся)

Пока, честно говоря, даже не думал об этом) Все и так устраивает

 

[dimon27254]

4 минуты назад, MDP сказал:

Могу ли я в файле ipset_ascn_subnets.txt самостоятельно добавлять подсети, оптимизировать вручную...?

Допустим у меня 256 подсетей подряд с маской 24 собралось...я их из файла удаляю и пишу одну подсеть с маской 16 ???  Или всё это зря будет при следующем сохранении всё перезапишется.

Можете. При следующем сохранении ничего не перезапишется.
Главное, соблюдайте оформление списка адресов, как в исходном файле.

[dimon27254]

Вышла новая версия 1.3.

Новое:

1) Конвертация параметра IPSETS_SAVE_PATH в IPSETS_DIRECTORY в ascn.conf для соответствия новому функционалу Antiscan.
Если ранее у вас был прописан какой-либо каталог в 1.1 или 1.2, он будет автоматически перенесен в новый параметр.

Для использования всех описанных ниже новых возможностей обязательно требуется указать каталог в IPSETS_DIRECTORY.

2) Пользовательский список адресов-исключений (предложил @MDP).
Вы можете указать доверенные IP-адреса или подсети, доступ с которых не будет как-либо контролироваться/ограничиваться Antiscan.
Для использования данного функционала установите USE_CUSTOM_EXCLUDE_LIST=1.
Список должен располагаться в подкаталоге custom, имя файла - ascn_custom_exclude.txt. Если файл отсутствует или пустой, функционал не будет работать.

3) Пользовательский белый/черный список адресов.
Вы можете указать перечень IP/подсетей, в соответствии с которыми будет ограничен доступ к защищаемым портам.
В случае с белым списком, доступ получат только адреса, указанные вами. При черном списке доступ будет у всех, кроме указанных.
Режим работы настраивается в CUSTOM_LISTS_BLOCK_MODE.
Черному списку соответствует CUSTOM_LISTS_BLOCK_MODE=blacklist, белому - CUSTOM_LISTS_BLOCK_MODE=whitelist. Для выключения установите CUSTOM_LISTS_BLOCK_MODE=0.
Списки должны располагаться в подкаталоге custom (аналогично адресам-исключениям), наименования файлов - ascn_custom_blacklist.txt и ascn_custom_whitelist.txt. Аналогично, если файлы отсутствуют или пустые, функционал не работает.

Структура списков адресов:

1.1.1.1
1.1.0.0/24
1.2.1.0/24

Обновление пользовательских списков адресов без остановки скрипта вызывается командой:

antiscan update_ipsets custom

4) Геоблокировка по черному/белому списку (предложил @Denis P)
Вы можете запретить доступ к портам с IP-адресов, которые принадлежат/не принадлежат определенным странам.
Режим геоблокровки настраивается в параметре GEOBLOCK_MODE, где 0 - выключен, blacklist - черный список, whitelist - белый список.
Перечень стран задается в GEOBLOCK_COUNTRIES в формате двухсимвольных кодов ISO 3166, пример: GEOBLOCK_COUNTRIES="RU DE"
При первом запуске в подкаталог geo будут скачаны списки IP для указанных стран. На основе их будет формироваться ipset, по которому и будет осуществляться геоблокировка.
Списки IP обновляются по расписанию каждые 15 дней в 0:05. Измените текст задачи в cron, если вам требуется другой интервал.

Важно: можно указать не более 8 стран!
Блокировка по AS в настоящее время не планируется к реализации.

Улучшения:

1) Реализована очистка адресов из списка ascn_ips, принадлежащих заблокированным подсетям. (сообщил @MDP).

В заголовке темы версия пакета была обновлена до 1.3.
Предыдущие версии доступны на GitHub.

Изменено Четверг в 06:27 пользователем dimon27254

[MDP]

Ставлю параметр CUSTOM_LISTS_BLOCK_MODE=blacklist

В файл  ascn_custom_blacklist.txt добавил ip адрес 

перезапустил скрипт.

Пишет в статусе  Белый список: 1

 

[dimon27254]

15 минут назад, MDP сказал:

Ставлю параметр CUSTOM_LISTS_BLOCK_MODE=blacklist

В файл  ascn_custom_blacklist.txt добавил ip адрес 

перезапустил скрипт.

Пишет в статусе  Белый список: 1

Спасибо за репорт!

Проблему локализовал, ожидайте исправление в версии 1.3.1.

[dimon27254]

Новая версия 1.3.1.

Исправления:

1) В выводе antiscan status отображалось некорректное наименование пользовательского списка (сообщил @MDP).

В заголовке темы версия пакета была обновлена до 1.3.1.
Предыдущие версии доступны на GitHub.

[dimon27254]

Новая версия 1.4.

Новое:

1) Новый путь для файлов конфигурации Antiscan: /opt/etc/antiscan
Туда будет перемещен имеющийся ascn.conf.

2) Перенос cron-задач Antiscan в файл ascn_crontab.conf.
Теперь вы можете настроить собственные интервалы выполнения задач и сохранить их в файл, который будет восстанавливаться при следующих обновлениях Antiscan. Более нет необходимости после каждого обновления вручную исправлять задачи под собственные нужды - достаточно это сделать один раз после перехода на 1.4.

3) Поддержка пакета web4static от @spatiumstas.
Интеграция с web4static открывает возможность легко и быстро изменять конфиг-файл, пользовательские списки адресов или задачи crontab.
Пример настройки:

Спойлер

Минимальная поддерживаемая версия web4static - 1.9.

4) Сохранение списков накопленных IP и подсетей при вызове команды antiscan restart.
Теперь не будет ситуации, когда вы внесли изменения в конфиг и все накопленные, но еще не сохраненные адреса исчезнут в "неизвестном направлении". Перед выполнением перезапуска списки будут сохранены в файлы и затем восстановлены.
Напоминаю: сохранение накопленных IP и подсетей доступно только при указанном каталоге IPSETS_DIRECTORY и установленном параметре SAVE_IPSETS=1.

Улучшения:
1) Для пользовательских списков более не требуется обязательное указание каталога в параметре IPSETS_DIRECTORY.
Обратите внимание: ваши списки адресов будут перенесены из каталога, указанного в IPSETS_DIRECTORY, в /opt/etc/antiscan.
Списки заблокированных IP и подсетей, а также списки подсетей для геоблокировки остаются на прежнем месте.

В заголовке темы версия пакета была обновлена до 1.4.
Предыдущие версии доступны на GitHub.

Изменено Суббота в 17:09 пользователем dimon27254

[dom]

Добрый день. Подскажите, нормальна ли ситуация когда заблокированных подсетей больше чем IP?

 ~  # /opt/etc/init.d/S99ascn status
Статус Antiscan:        работает
Заблокировано IP:       7
Заблокировано подсетей: 26
Пользовательские списки не активны
Геоблокировка:          отключена

версия 1.3.1

[dimon27254]

18 минут назад, dom сказал:

Добрый день. Подскажите, нормальна ли ситуация когда заблокированных подсетей больше чем IP?

 ~  # /opt/etc/init.d/S99ascn status
Статус Antiscan:        работает
Заблокировано IP:       7
Заблокировано подсетей: 26
Пользовательские списки не активны
Геоблокировка:          отключена

версия 1.3.1

Добрый день! Данная ситуация абсолютно нормальная.

Со временем заблокированные адреса накапливаются, и при превышении установленного в конфиге порога могут свертываться в подсети.

[FLK]

7 часов назад, dom сказал:

Добрый день. Подскажите, нормальна ли ситуация когда заблокированных подсетей больше чем IP?

 ~  # /opt/etc/init.d/S99ascn status
Статус Antiscan:        работает
Заблокировано IP:       7
Заблокировано подсетей: 26
Пользовательские списки не активны
Геоблокировка:          отключена

версия 1.3.1

Тут может быть 2 ситуации: либо адреса, которые забанило по ip за превышение порога соединений, свернуло в подсети в соответствии с правилом в конфиге, либо вас просто активно "щупали" несколько ip с 1 соединением с одной подсети)

Ситуация абсолютно нормальная, можете сделать antiscan flush, сбосив все, и начать заново, по истечении времени снова сделать antiscan status, и совсем другая картина возможно будет)

В общем понаблюдать, если что пишите - подскажем) и кстати есть уже 1.4 😉

 

Изменено 9 часов назад пользователем FLK