Antiscan - выявление и блокировка подозрительных IP

FLK · Воскресенье в 06:02

5 часов назад, dimon27254 сказал:

Бессрочное хранение включается только для списков заблокированных IP и подсетей. Список кандидатов на блокировку продолжает хранить записи в соответствии с установленным в конфиге сроком (DIFFERENT_IP_CANDIDATES_STORAGETIME), если вы явно не установите 0. При этом, кандидаты не сохраняются в постоянной памяти вовсе - при каждой перезагрузке роутера/скрипта они будут наполняться заново.

Вариант с аптаймом устройства в год я полноценно не рассматривал, т.к. лично у меня роутер работает от обновления к обновлению.
Однако, в данном случае на длительном аптайме полноценную точечную очистку записей реализовать не представляется возможным - максимальный срок хранения записей в ipset при использовании timeout составляет 2147483 секунды, что чуть меньше 25 дней. Ввиду этого ограничения при SAVE_IPSETS=1 значение timeout для ascn_ips и ascn_subnets полностью исключается и записи хранятся без срока.

Могу, например, к следующей версии исключить принудительную установку "бессрочного" хранения для ipset, чтобы вы могли и дальше устанавливать свой таймаут. Однако, в этом случае я не вижу смысла в сохранении в файлы вовсе, если, условно говоря, через день/несколько часов записи все равно удалятся.

Или есть вариант реализовать дополнительную задачу в cron, которая будет, например, раз в 3 месяца принудительно очищать все ipset и удалять сохраненные файлы, чтобы они могли наполняться "с нуля".

Мне кажется весь смысл был в том, чтоб накопить и сохранить хулиганов и накрыть их медным тазом)

avn · Воскресенье в 06:13

1 час назад, dimon27254 сказал:

Не совсем понял, что вы имеете ввиду и в каких именно из правил.
Для connlimit я маску не указываю явно, она автоматически ставится /32.

Connlimit, receipt

MDP · Воскресенье в 06:14

13 минут назад, FLK сказал:

Мне кажется весь смысл был в том, чтоб накопить и сохранить хулиганов и накрыть их медным тазом)

Совершенно верно. Чтобы после перезагрузки не накапливать заново. Сейчас подумал... возможно эта фича не оправдана?! Особенно, если сканируют с какого нибудь динамического адреса.

Изменено Воскресенье в 06:17 пользователем MDP

MDP · Воскресенье в 16:37

Хорошо так отсеивает ...

FLK · Воскресенье в 16:43

5 минут назад, MDP сказал:

Хорошо так отсеивает ...

Вижу знакомых ребят))))

kaguyashaa · Воскресенье в 16:45

Можно потом кстати собрать список таких любителей посканировать и выложить отдельно чтоб сразу импортировать и блокировать.

Ещё интересно если у меня проброшен в локалку порт 443 для Nginx то его тоже будет обрабатывать и при необходимости ip блокировать?

FLK · Воскресенье в 17:14

28 минут назад, kaguyashaa сказал:

Можно потом кстати собрать список таких любителей посканировать и выложить отдельно чтоб сразу импортировать и блокировать.

У каждого и так все соберется)

avn · Воскресенье в 18:52

2 часа назад, kaguyashaa сказал:

Ещё интересно если у меня проброшен в локалку порт 443 для Nginx то его тоже будет обрабатывать и при необходимости ip блокировать?

Нет

Изменено Воскресенье в 18:52 пользователем avn

MDP · вчера в 11:46

Исходя из каких соображений подсетям для блокирования выбрана маска /24 ?

Подсети разные же бывают.

dimon27254 · вчера в 12:03

17 минут назад, MDP сказал:

Исходя из каких соображений подсетям для блокирования выбрана маска /24 ?

Подсети разные же бывают.

/24 мной была выбрана намеренно, т.к. по ней можно легко и быстро отслеживать и подсчитывать "похожие" адреса, просто проверяя совпадение первых трех октетов, т.е. 1.2.3.1, 1.2.3.14, 1.2.3.94 и так далее. Если количество "похожих" адресов больше порогового, на основе этих же трех октетов создается запись в ipset 1.2.3.0/24 для блокировки подсети целиком.

С /23, /22 и более крупными такой "фокус" уже не пройдет.

В данном направлении улучшений я пока что не планирую.

Изменено вчера в 12:03 пользователем dimon27254

avn · вчера в 12:08

6 минут назад, dimon27254 сказал:

/24 мной была выбрана намеренно, т.к. по ней можно легко и быстро отслеживать и подсчитывать "похожие" адреса, просто проверяя совпадение первых трех октетов, т.е. 1.2.3.1, 1.2.3.14, 1.2.3.94 и так далее. Если количество "похожих" адресов больше порогового, на основе этих же трех октетов создается запись в ipset 1.2.3.0/24 для блокировки подсети целиком.

С /23, /22 и более крупными такой "фокус" уже не пройдет.

В данном направлении улучшений я пока что не планирую.

zapret ip2net

Изменено вчера в 12:09 пользователем avn

dimon27254 · вчера в 12:33

@avn об ip2net мне известно, уже пользовался им ранее.

Однако, он работает только с конкретными адресами, и не сворачивает уже имеющиеся подсети в более крупные - просто выдает их без изменений.

Тогда может получиться ещё больше записей в ipset, чем сейчас, если не делать тонкую настройку.

FLK · вчера в 12:42

56 минут назад, MDP сказал:

Исходя из каких соображений подсетям для блокирования выбрана маска /24 ?

Подсети разные же бывают.

/24 аккуратнеько банит, этого вполне достаточно по ощущениям

Если уж так хочется что-то свернуть и компактизировать - открываем файлики, удаляем, сворачиваем в /23-/16 например, заливаем обратно, радуемся)

Пока, честно говоря, даже не думал об этом) Все и так устраивает

Изменено вчера в 12:43 пользователем FLK

MDP · вчера в 12:49

8 минут назад, FLK сказал:

/24 аккуратнеько банит, этого вполне достаточно по ощущениям

Если уж так хочется что-то свернуть и компактизировать - открываем файлики, удаляем, сворачиваем в /23-/16 например, заливаем обратно, радуемся)

Банит то он отлично...просто под замес могут попасть и добропорядочные адреса. 🙂

Попробую поставить

DIFFERENT_IP_THRESHOLD=254

Это получается, что будут блокироваться конкретные IP ? Подсеть заблокируется если совсем уж всё..

Изменено вчера в 12:51 пользователем MDP

dimon27254 · вчера в 12:54

3 минуты назад, MDP сказал:

Банит то он отлично...просто под замес могут попасть и добропорядочные адреса. 🙂

По моему мнению, вероятность того, что в одной подсети со злоумышленниками, делающими свои грязные дела с нескольких адресов, будет легитимный клиент - крайне мала)

3 минуты назад, MDP сказал:
Попробую поставить
DIFFERENT_IP_THRESHOLD=254 
Это получается, что будут блокироваться конкретные IP ?

В этом случае подсеть не будет заблокирована, пока в ней не "соберётся" 254 адреса.

FLK · вчера в 12:59

8 минут назад, MDP сказал:
Банит то он отлично...просто под замес могут попасть и добропорядочные адреса. 🙂

Попробую поставить
DIFFERENT_IP_THRESHOLD=254 
Это получается, что будут блокироваться конкретные IP ? Подсеть заблокируется если совсем уж всё..

Это слишком много, можно сделать 5-10-20 например. По умолчанию вроде мы делали 5, я наоборот срезаю, если есть хотя бы 3...

MDP · вчера в 14:20

2 часа назад, dimon27254 сказал:

/24 мной была выбрана намеренно, т.к. по ней можно легко и быстро отслеживать и подсчитывать "похожие" адреса, просто проверяя совпадение первых трех октетов, т.е. 1.2.3.1, 1.2.3.14, 1.2.3.94 и так далее. Если количество "похожих" адресов больше порогового, на основе этих же трех октетов создается запись в ipset 1.2.3.0/24 для блокировки подсети целиком.

С /23, /22 и более крупными такой "фокус" уже не пройдет.

В данном направлении улучшений я пока что не планирую.

Ну так то можно подумать...если сравнивать не октетами в десятичной форме, а в двоичной. ...сначала все адреса проверяются на группировку по маске /31 (последний бит не учитывать в сравнении), потом сгруппированные проверяются на возможность группирования по маске /30 (два бита последние не учитывать) ...и т.д до /0 )))))

Ну так то да...в скриптах я не силён, наверное сложно этот алгоритм реализовать.

FLK · вчера в 18:35

4 часа назад, MDP сказал:

в скриптах я не силён

Мы тоже так себе 😂

Войти

Antiscan - выявление и блокировка подозрительных IP

Рекомендуемые сообщения

FLK

avn

MDP

MDP

FLK

kaguyashaa

FLK

avn

MDP

dimon27254

avn

dimon27254

FLK

MDP

dimon27254

FLK

MDP

FLK

Присоединяйтесь к обсуждению

Последние посетители 1 пользователь онлайн

Обзор

Активность

Магазин

My Details

Важная информация