Antiscan - выявление и блокировка подозрительных IP

[dimon27254]

16 часов назад, odin сказал:

предлагаю добавить функцию HoneyPotting
например у вас наружу точно закрыт 21, 22, 23, 25, 80 порт

боты в первую очередь будут сканировать эти порты
если кто то поинтересовался этим портом сразу в бан

Спасибо за предложение! В следующей версии (1.8) сможете протестировать работу.

[odin]

Ещё "свистелка/перделка" https://docs.crowdsec.net/u/integrations/genericfirewall
Загрузка списка ботсетей.

Просто опция как и всё прочее.
В конфиге только упомянуть логин пароль к сервису, на котором пользователь сам должен зарегаться.
И получаете "предзащиту".
В вашем коде появится ещё один список ipset и всё.

[dimon27254]

4 минуты назад, odin сказал:

Ещё "свистелка/перделка" https://docs.crowdsec.net/u/integrations/genericfirewall
Загрузка списка ботсетей.

Просто опция как и всё прочее.
В конфиге только упомянуть логин пароль к сервису, на котором пользователь сам должен зарегаться.
И получаете "предзащиту".
В вашем коде появится ещё один список ipset и всё.

Это вы можете сделать в собственном скрипте, который недавно выкладывали на форуме. 
Я против добавления в Antiscan работы с внешними сервисами, которые требуют авторизации, даже опционально.

Более того, с доступом к сервису наблюдаю проблемы - срабатывает "16 килобайтная" блокировка. 

[FLK]

21 минуту назад, odin сказал:

Ещё "свистелка/перделка" https://docs.crowdsec.net/u/integrations/genericfirewall
Загрузка списка ботсетей.

Просто опция как и всё прочее.
В конфиге только упомянуть логин пароль к сервису, на котором пользователь сам должен зарегаться.
И получаете "предзащиту".
В вашем коде появится ещё один список ipset и всё.

Это уже лишнее на мой взгляд)

[MDP]

А ловля на "живца" же есть уже...используются механизмы защиты от брутфорса самого кинетика и последующем его добавлением в антискан.  Открываете телнет например (пароль только мощный надо поставить) и всё отлавливается.

 

[MDP]

У меня сейчас "устаканилась" такая конфигурация ...даже до блокировки подсетей не доходит. 

настроил и забыл...вообще красота!!!  Реально на кинетике используется только 443 порт

Предложение по реализации геосписка вообще самое отличнейшее !

Изменено 6 августа пользователем MDP

[dimon27254]

7 минут назад, MDP сказал:

А ловля на "живца" же есть уже...используются механизмы защиты от брутфорса самого кинетика и последующем его добавлением в антискан.  Открываете телнет например (пароль только мощный надо поставить) и всё отлавливается.

Honeypot будет еще одним опциональным способом "ловли" нелегитимных клиентов. Если в интернет "смотрят" нестандартные порты вида 8443, 65080 и им подобные, до которых боты добираются далеко не в первую очередь, honeyport с "ловушкой" на 22, 80 или 443 окажется полезным.

Например, защищаем порт 65080, но ставим "ловушку" на 22. Бот пытается подключиться к 22, и попадает в список блокировки по IP. Попытки подключения на 65080 у него уже провалятся. Если "налетит" большое количество ботов из одной подсети - они все будут занесены в список IP-блокировки, который потом по расписанию свернется в целую подсеть.

[MDP]

10 минут назад, dimon27254 сказал:

Honeypot будет еще одним опциональным способом "ловли" нелегитимных клиентов. Если в интернет "смотрят" нестандартные порты вида 8443, 65080 и им подобные, до которых боты добираются далеко не в первую очередь, honeyport с "ловушкой" на 22, 80 или 443 окажется полезным.

Например, защищаем порт 65080, но ставим "ловушку" на 22. Бот пытается подключиться к 22, и попадает в список блокировки по IP. Попытки подключения на 65080 у него уже провалятся. Если "налетит" большое количество ботов из одной подсети - они все будут занесены в список IP-блокировки, который потом по расписанию свернется в целую подсеть.

Я так и тестировал антискан ...открыл 23 порт в кинетике...естественно все негодяи налетели ...срабатывает кинетиковский 

ip telnet
    port 23
    lockout-policy 4 60 10

на часочек ...

Далее антискан из  lockout-policy его переносит в NDM_LOCKOUT_IPSETS ...и блокирует по всем портам.

Тут разница в том, что используется реальный сервис....а в honeyport эмулирует работу сервиса?

Если так, то хорошая идея.

[dimon27254]

19 минут назад, MDP сказал:

Я так и тестировал антискан ...открыл 23 порт в кинетике...естественно все негодяи налетели ...срабатывает кинетиковский 

ip telnet
    port 23
    lockout-policy 4 60 10

на часочек ...

Далее антискан из  lockout-policy его переносит в NDM_LOCKOUT_IPSETS ...и блокирует по всем портам.

Тут разница в том, что используется реальный сервис....а в honeyport эмулирует работу сервиса?

Если так, то хорошая идея.

Honeypot в реализации Antiscan не будет что-либо эмулировать. Порты-ловушки будут закрытыми. С помощью правила iptables будет проводиться просто проверка на факт подключения к этим портам, и далее занесение в список блокировки по IP.

Если за портами-ловушками будут рабочие сервисы, и номера портов совпадают с PORTS, то потребуется завести список доверенных адресов и занести его в исключения. Иначе легитимный клиент после подключения сразу же окажется заблокирован.

Изменено 6 августа пользователем dimon27254

[MDP]

22 минуты назад, dimon27254 сказал:

 Порты-ловушки будут закрытыми. С помощью правила iptables будет проводиться просто проверка на факт подключения к этим портам, и далее занесение в список блокировки по IP.

 

Да? ...тогда надо

[dimon27254]

Вышла новая версия 1.8.

Новое:

1) Блокировка адресов с помощью "ловушки" (honeypot) (предложил @odin).
В реализации Antiscan honeypot представляет собой ловушку на портах, которые вы укажите в новом параметре HONEYPOT_PORTS.
Порты, указанные для работы ловушки, остаются закрытыми, но на них запускается отслеживание входящих подключений.
Важно: отслеживание работает только на портах самого роутера. Если вы укажете порты, которые далее переадресуются на какое-либо устройство в локальной сети, ловушка не сработает.

Если потенциальный бот или любой другой нелегитминый клиент подключится к портам HONEYPOT_PORTS, его адрес будет помещен в список ascn_honeypot и заблокирован. Срок хранения записей в данном списке устанавливается в параметре HONEYPOT_BANTIME. Блокировка будет для портов, указанных в PORTS, PORTS_FORWARDED и HONEYPOT_PORTS.
По аналогии со списком IP и кандидатов, для списка блокировки по ловушке работает свертывание в подсети /24 с последующей очисткой затронутых записей.

Обратите внимание: в HONEYPOT_PORTS нужно указывать порты, на которых нет каких-либо сервисов, "смотрящих" в интернет. В противном случае все клиенты, подключающиеся к этим портам, будут блокироваться, кроме указанных в списке исключения.

2) Опциональное сохранение накопленных IP и подсетей по команде antiscan stop.
NDMS при размонтировании раздела с Entware "подает" всем скриптам в init.d команду stop. Это можно использовать для вызова сохранения накопленных IP и подсетей при запланированной перезагрузке роутера - например, в процессе обновления прошивки или ручной перезагрузке из веб-интерфейса.
Также это будет полезно при изменении настроек Antiscan, если вы вызываете antiscan stop.
Установите SAVE_ON_EXIT=1, чтобы включить данный функционал.

Улучшения:

1) Отображение версии Antiscan при вызове antiscan status.
Теперь не обязательно вызывать antiscan version, чтобы узнать установленную версию Antiscan.

Пакет версии 1.7 был удален из заголовка темы.
Все новые релизы, начиная с 1.8, будут публиковаться только на GitHub.

[kaguyashaa]

Honeypot вообще огонь, банлист моментально заполняется особенно если указать что-то стандартное 

Спойлер

HONEYPOT_PORTS="21,22,23,445,1433,3306,3389,5900,8080,10000,50000"

 

[FLK]

4 часа назад, kaguyashaa сказал:

Honeypot вообще огонь, банлист моментально заполняется особенно если указать что-то стандартное 

  Скрыть контент

HONEYPOT_PORTS="21,22,23,445,1433,3306,3389,5900,8080,10000,50000"

 

Да эта идея была прям огонь)

[MDP]

Агрессивная фича получилась... надо внимательно мониторить, самозабаниться очень легко.

 

А "смягчить" немного есть возможность, как с кандидатами, и банить за настойчивость... ну там 3 попытки за 30 секунд? ... или с одного адреса постучались по крайней мере в 2 порта?

Изменено Воскресенье в 05:26 пользователем MDP

[dimon27254]

16 минут назад, MDP сказал:

Агрессивная фича получилась... надо внимательно мониторить, самозабаниться очень легко.

 

А "смягчить" немного есть возможность, как с кандидатами, и банить за настойчивость... ну там 3 попытки за 30 секунд? ... или с одного адреса постучались по крайней мере в 2 порта?

Никакой самоблокировки не будет, если вы укажете порты, которыми сами не пользуетесь. Соответственно, в этом случае и нет смысла в настройке критериев "жесткости" блокировки.

Если вы в HONEYPOT_PORTS укажете порты, на которые сами обращаетесь, и там будет настройка количества подключений и времени, то какой вообще смысл в использовании honeypot?) Получится полное повторение функционала, который уже реализован.

Изменено Воскресенье в 05:30 пользователем dimon27254

[MDP]

3 минуты назад, dimon27254 сказал:

Никакой самоблокировки не будет, если вы укажете порты, которыми сами не пользуетесь. Соответственно, в этом случае и нет смысла в настройке критериев "жесткости" блокировки.

Так то совершенно согласен. 

Но если нечаянно написал http://...

вместо https://... и всё 😁 ,

Ладно, фича действительно хорошая, я просто придираюсь. 

Изменено Воскресенье в 05:33 пользователем MDP

[dimon27254]

2 минуты назад, MDP сказал:

Так то совершенно согласен. 

Но если нечаянно написал http://...

вместо https://... и всё 😁

Исключите 80 порт из honeypot, ограничившись его "обычной" защитой. 
Боты прекрасно заглянут в гости на всякие 21, 22, 23, 25, и многие другие

Идея как раз в том, что honeypot следит за портами, на которые пользователь точно не пойдет, потому что никогда ими не воспользуется.

Изменено Воскресенье в 05:35 пользователем dimon27254

[MDP]

Наблюдение.

У меня все клиенты "перетекли" в ловушку, если таймаут блокировки поставить. Наверное так и должно быть. 😁

 

[dimon27254]

Новая версия 1.8.1.

Улучшения:

1) Оптимизирована работа с cron (сообщил @Denis P).
2) Обновлен внешний вид сообщений Antiscan в консоли (предложил @spatiumstas).

 

NEW: установка Antiscan теперь возможна с помощью одной команды, которую нужно ввести в консоли:

opkg update && opkg install curl && curl -fsSL https://raw.githubusercontent.com/dimon27254/antiscan/refs/heads/main/install.sh | sh

Скрипт скачает последнюю версию пакета с GitHub, а также проверит наличие cron и установит его при необходимости.

Изменено вчера в 04:24 пользователем dimon27254

[FLK]

2 часа назад, MDP сказал:

Наблюдение.

У меня все клиенты "перетекли" в ловушку, если таймаут блокировки поставить. Наверное так и должно быть. 😁

 

При нормальном конфиге должно быть примерно вот так:

[MDP]

В 12.08.2025 в 09:09, FLK сказал:

При нормальном конфиге должно быть примерно вот так:

у меня все уже перешли в заблоченные "ловушкой" , и активность по 443 порту пропала. Парадокс.

[FLK]

1 час назад, MDP сказал:

у меня все уже перешли в заблоченные "ловушкой" , и активность по 443 порту пропала. Парадокс.

Перешли?) Они не могут туда перейти. То, что заблочено основным механизмом не может перейти в то, что заблочено "горшком"... это 2 совершенно разных механизма

Киньте конфиг, чтоб было понятнее куда и что у вас там "переходит")))

 

Изменено 1 минута назад пользователем FLK