Перейти к содержанию

Antiscan - выявление и блокировка подозрительных IP

dimon27254
 Поделиться

Рекомендуемые сообщения

dimon27254 NetFriend

dimon27254

Опубликовано
  • Автор
Опубликовано
16 часов назад, odin сказал:

предлагаю добавить функцию HoneyPotting
например у вас наружу точно закрыт 21, 22, 23, 25, 80 порт

боты в первую очередь будут сканировать эти порты
если кто то поинтересовался этим портом сразу в бан

Спасибо за предложение! В следующей версии (1.8) сможете протестировать работу.

  • Лайк 1
  • Ответов 189
  • Создана
  • Последний ответ

Топ авторов темы

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

dimon27254
dimon27254

Antiscan - простой инструмент для выявления и блокировки IP с подозрительной активностью (например, сканеры портов и служб). Предыстория от @FLK, поясняющая актуальность данного инструмента:

dimon27254
dimon27254

Вышла новая версия 1.2. Новое: 1) Сохранение списка адресов кандидатов на блокировку в файл. 2) Защита устройств, подключенных к роутеру и использующих перенаправление портов (предложен

dimon27254
dimon27254

Новая версия 1.4. Новое: 1) Новый путь для файлов конфигурации Antiscan: /opt/etc/antiscan Туда будет перемещен имеющийся ascn.conf. 2) Перенос cron-задач Antiscan в файл ascn_crontab

Изображения в теме

odin Новичок

odin

Опубликовано
Опубликовано

Ещё "свистелка/перделка" https://docs.crowdsec.net/u/integrations/genericfirewall
Загрузка списка ботсетей.

Просто опция как и всё прочее.
В конфиге только упомянуть логин пароль к сервису, на котором пользователь сам должен зарегаться.
И получаете "предзащиту".
В вашем коде появится ещё один список ipset и всё.

dimon27254 NetFriend

dimon27254

Опубликовано
  • Автор
Опубликовано
4 минуты назад, odin сказал:

Ещё "свистелка/перделка" https://docs.crowdsec.net/u/integrations/genericfirewall
Загрузка списка ботсетей.

Просто опция как и всё прочее.
В конфиге только упомянуть логин пароль к сервису, на котором пользователь сам должен зарегаться.
И получаете "предзащиту".
В вашем коде появится ещё один список ipset и всё.

Это вы можете сделать в собственном скрипте, который недавно выкладывали на форуме. 
Я против добавления в Antiscan работы с внешними сервисами, которые требуют авторизации, даже опционально.

Более того, с доступом к сервису наблюдаю проблемы - срабатывает "16 килобайтная" блокировка. 

  • Лайк 1
FLK NetFriend

FLK

Опубликовано
Опубликовано
21 минуту назад, odin сказал:

Ещё "свистелка/перделка" https://docs.crowdsec.net/u/integrations/genericfirewall
Загрузка списка ботсетей.

Просто опция как и всё прочее.
В конфиге только упомянуть логин пароль к сервису, на котором пользователь сам должен зарегаться.
И получаете "предзащиту".
В вашем коде появится ещё один список ipset и всё.

Это уже лишнее на мой взгляд)

  • Лайк 1
MDP Старожил

MDP

Опубликовано
Опубликовано

А ловля на "живца" же есть уже...используются механизмы защиты от брутфорса самого кинетика и последующем его добавлением в антискан.  Открываете телнет например (пароль только мощный надо поставить) и всё отлавливается.

 

MDP Старожил

MDP

Опубликовано
Опубликовано (изменено)

У меня сейчас "устаканилась" такая конфигурация ...даже до блокировки подсетей не доходит. 

image.png.6be8fb24e5c689b06dd288181d0e79b6.png

image.png.8ad138dfad8fefe98d3061c4fdf50a82.png

настроил и забыл...вообще красота!!!  Реально на кинетике используется только 443 порт

Предложение по реализации геосписка вообще самое отличнейшее !

Изменено пользователем MDP
dimon27254 NetFriend

dimon27254

Опубликовано
  • Автор
Опубликовано
7 минут назад, MDP сказал:

А ловля на "живца" же есть уже...используются механизмы защиты от брутфорса самого кинетика и последующем его добавлением в антискан.  Открываете телнет например (пароль только мощный надо поставить) и всё отлавливается.

Honeypot будет еще одним опциональным способом "ловли" нелегитимных клиентов. Если в интернет "смотрят" нестандартные порты вида 8443, 65080 и им подобные, до которых боты добираются далеко не в первую очередь, honeyport с "ловушкой" на 22, 80 или 443 окажется полезным.

Например, защищаем порт 65080, но ставим "ловушку" на 22. Бот пытается подключиться к 22, и попадает в список блокировки по IP. Попытки подключения на 65080 у него уже провалятся. Если "налетит" большое количество ботов из одной подсети - они все будут занесены в список IP-блокировки, который потом по расписанию свернется в целую подсеть.

  • Лайк 2
MDP Старожил

MDP

Опубликовано
Опубликовано
10 минут назад, dimon27254 сказал:

Honeypot будет еще одним опциональным способом "ловли" нелегитимных клиентов. Если в интернет "смотрят" нестандартные порты вида 8443, 65080 и им подобные, до которых боты добираются далеко не в первую очередь, honeyport с "ловушкой" на 22, 80 или 443 окажется полезным.

Например, защищаем порт 65080, но ставим "ловушку" на 22. Бот пытается подключиться к 22, и попадает в список блокировки по IP. Попытки подключения на 65080 у него уже провалятся. Если "налетит" большое количество ботов из одной подсети - они все будут занесены в список IP-блокировки, который потом по расписанию свернется в целую подсеть.

Я так и тестировал антискан ...открыл 23 порт в кинетике...естественно все негодяи налетели ...срабатывает кинетиковский 

ip telnet
    port 23
    lockout-policy 4 60 10

на часочек ...

Далее антискан из  lockout-policy его переносит в NDM_LOCKOUT_IPSETS ...и блокирует по всем портам.

Тут разница в том, что используется реальный сервис....а в honeyport эмулирует работу сервиса?

Если так, то хорошая идея.

dimon27254 NetFriend

dimon27254

Опубликовано
  • Автор
Опубликовано (изменено)
19 минут назад, MDP сказал:

Я так и тестировал антискан ...открыл 23 порт в кинетике...естественно все негодяи налетели ...срабатывает кинетиковский 

ip telnet
    port 23
    lockout-policy 4 60 10

на часочек ...

Далее антискан из  lockout-policy его переносит в NDM_LOCKOUT_IPSETS ...и блокирует по всем портам.

Тут разница в том, что используется реальный сервис....а в honeyport эмулирует работу сервиса?

Если так, то хорошая идея.

Honeypot в реализации Antiscan не будет что-либо эмулировать. Порты-ловушки будут закрытыми. С помощью правила iptables будет проводиться просто проверка на факт подключения к этим портам, и далее занесение в список блокировки по IP.

Если за портами-ловушками будут рабочие сервисы, и номера портов совпадают с PORTS, то потребуется завести список доверенных адресов и занести его в исключения. Иначе легитимный клиент после подключения сразу же окажется заблокирован.

Изменено пользователем dimon27254
  • Лайк 2
MDP Старожил

MDP

Опубликовано
Опубликовано
22 минуты назад, dimon27254 сказал:

 Порты-ловушки будут закрытыми. С помощью правила iptables будет проводиться просто проверка на факт подключения к этим портам, и далее занесение в список блокировки по IP.

 

Да? ...тогда надо

_l5PIch85nxQrSfOcDH_fwmvwH0-960.jpg

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю