Antiscan - выявление и блокировка подозрительных IP

[FLK]

3 часа назад, MDP сказал:

@FLK пожалуйста, поделитесь своим конфигом, как у Вас сейчас настроено? 

Пока не могу) он тестирует 1.10 и может ввести в заблуждение

Скажите что именно вас интересует, я вырежу блок

[MDP]

6 часов назад, FLK сказал:

Пока не могу) он тестирует 1.10 и может ввести в заблуждение

Скажите что именно вас интересует, я вырежу блок

RECENT_CONNECTIONS_TIME=
RECENT_CONNECTIONS_HITCOUNT=
RECENT_CONNECTIONS_LIMIT=
RECENT_CONNECTIONS_BANTIME=

[FLK]

4 часа назад, MDP сказал:

RECENT_CONNECTIONS_TIME=
RECENT_CONNECTIONS_HITCOUNT=
RECENT_CONNECTIONS_LIMIT=
RECENT_CONNECTIONS_BANTIME=

RULES_MASK="255.255.255.255"
RECENT_CONNECTIONS_TIME=120
RECENT_CONNECTIONS_HITCOUNT=10
RECENT_CONNECTIONS_LIMIT=10
RECENT_CONNECTIONS_BANTIME=0

Можно сделать значения 180/15/15

Изменено Вторник в 05:25 пользователем FLK

[dimon27254]

Вышла версия 1.10.

Новое:
1. Исключения по странам.
Теперь вы можете указать список доверенных стран, доступ с которых не будет ограничиваться Antiscan.
За этот функционал отвечает новый параметр GEO_EXCLUDE_COUNTRIES. Страны указываются также, как и в GEOBLOCK_COUNTRIES - в формате ISO 3166 и количеством не более 8. 

Спойлер

Пример для одной страны:

GEO_EXCLUDE_COUNTRIES="RU"

Пример для множества:

 

GEO_EXCLUDE_COUNTRIES="RU KZ"

Для использования функционала в ascn.conf должен быть указан каталог для хранения списков адресов (IPSETS_DIRECTORY).
Исключения по странам могут работать как самостоятельно, так и вместе с геоблокировкой. 
Возможно указание одной и той же страны одновременно как в списке геоблокировки, так и исключений. Пример использования такого сценария:
Пусть в белом списке находится Россия и Казахстан (разрешены подключения только с IP России и Казахстана). Есть необходимость разрешить пользователям из России неконтролируемый Antiscan доступ к открытым портам, но при этом сохранить работу геоблокировки. В список исключений указывается Россия, и тогда все подключения, принадлежащие российским IP, будут Antiscan игнорироваться. Однако, подключения из Казахстана останутся разрешены, а из остальных стран, не входящих в белый список, запрещены.  

2. Управление состоянием блокировки по накопленным IP/подсетям.
Для управления этим видом блокировки добавлен параметр ENABLE_IPS_BAN. Значение по умолчанию - ENABLE_IPS_BAN=1 (блокировка включена).
Если установить ENABLE_IPS_BAN=0 (выключить), то будет приостановлено:
1) Отслеживание множественных соединений с одного IP;
2) Накопление IP-адресов кандидатов на блокировку (отслеживание соединений с множества IP, принадлежащих одной подсети).
3) Свертывание накопленных IP адресов в подсети для блокировки;
4) Сама блокировка по накопленным спискам IP и подсетей.

3. Управление состоянием работы "ловушки".
Теперь нет необходимости очищать список портов, чтобы отключить ловушку - достаточно изменить значение в новом параметре ENABLE_HONEYPOT.
ENABLE_HONEYPOT=1 - ловушка включена, ENABLE_HONEYPOT=0 - выключена.
Если в ascn.conf у вас ранее были указаны порты в HONEYPOT_PORTS, то при обновлении на 1.10 значение параметра ENABLE_HONEYPOT установится 1. В ином случае 0.

Улучшения:
1. Повышена надежность загрузки списка подсетей стран.
Если Antiscan не удастся скачать списки с оригинальной базы RIPEstat (stat.ripe.net), то будет выполнена попытка загрузки с зеркала.

2. Разделение исходного кода Antiscan на модули (предложил @eralde).
Основной исполняемый файл S99ascn уже насчитывает более 1500 строк. С целью повышения читаемости исходного кода, функции из S99ascn вынесены в отдельные скрипты-модули, каждый из которых отвечает за определенную функциональность.
Эти скрипты находятся в каталоге /opt/etc/antiscan/scripts. Удалять их строго запрещено, иначе работа Antiscan будет нарушена!
Например, в config.sh приведены все функции, связанные с чтением и обработкой конфига ascn.conf.

Исправления:
1. Если в GEOBLOCK_COUNTRIES указать страну, для которой в RIPEstat нет IP-адресов, то Antiscan при загрузке возвращал ложно-положительный статус.
2. Работа команды antiscan edit config блокировалась при наличии ошибок в ascn.conf.
3. После редактирования пользовательского списка исключений с помощью команды antiscan edit custom_exclude, в консоли могло появляться сообщение sh: bad number.

[dimon27254]

На случай недоступности GitHub на территории РФ, запущен antiscan.ru - будущий сайт проекта Antiscan.

Сейчас он находится в разработке, однако на нем уже работает зеркало для обновления списка подсетей стран, а также репозиторий для обновления Antiscan.

Скрипт для установки Antiscan с российского репозитория:

opkg update && opkg install curl && curl -fsSL https://bin.antiscan.ru/packages/install.sh | sh

Обратите внимание: если у вас ранее был добавлен GitHub-репозиторий, то при использовании данного скрипта он будет заменен на bin.antiscan.ru, и дальнейшие обновления будут загружаться с российского сервера.

 

Вручную перейти на российский репозиторий можно командами:

opkg update && opkg install wget-ssl ca-bundle
mkdir -p /opt/etc/opkg
echo "src/gz antiscan https://bin.antiscan.ru/packages/all" >"/opt/etc/opkg/antiscan.conf"
opkg update

 

От GitHub-репозитория я отказываться не планирую, он будет обновляться совместно с российским.