Block IP που προσπαθούν να συνδεθούν

[griniaris]

Μα σκανάρουν ολόκληρα block, απλά οι πιο πολλοί δεν έχουν κάποιο firewall Που να τα κάνει report ή και να έχουν δεν το βλέπει κάποιος.

Αυτο θεωρω και εγω. Οτι σκαναρουν γενικα και οχι στοχευμενα. Απλα με μπερδεψε αυτο που εγραψε ο @deniSun

Δεν σκανάρουν τυχαία ολόκληρα subs.

και ειπα μπας και ισχυει κατι διαφορετικο απο αυτο που ηξερα.

[deniSun]

Τι εννοεις περιεργη ?? Ολες κανονικοτατες ειναι. λιγο YOUTUBE , λιγο ADSLGR , λιγο XVIDEOS.COM ... απορω πως μπορει να εγινε...

περα απο την πλακα τωρα. η συγκεκριμενη γραμμη ειναι αποκλειστικα για τις καμερες και ολο το συστημα αυτοματισμου.

δεν βγαινει τιποτα αλλο στο ιντερνετ απο αυτη τη γραμμη.

Οποτε να γυρισουμε στην θεωρεια της " κακης ΙΡ " , με την εννοια οτι ο προηγουμενος κατοχος της εκανε αυτα που εκανε..... και αφου την πηρα εγω μετα ..... τα scanners συνεχιζουν και ψαχνουν εμενα τωρα .

Αληθεια γιατι να μην σκαναρουν ολοκληρα BLOCK απο IP ? ή ακομα και ολοκληρα subnets που ανέφερες? ουτως η αλλως αυτοματοποιημενα δεν ειναι ολα ?

Φαντάσου να σκανάρουν 254 διευθύνσεις Χ y-port.
Και αυτό να το κάνουν Χ 254 και άλλες 254 κλπ.
Μιλάμε για πολλές ώρες/μέρες.
Είναι πιο εύκολο να πας εσύ σε αυτούς παρά να έρθουν αυτοί σε εσένα.

[griniaris]

Φαντάσου να σκανάρουν 254 διευθύνσεις Χ y-port.
Και αυτό να το κάνουν Χ 254 και άλλες 254 κλπ.
Μιλάμε για πολλές ώρες/μέρες.
Είναι πιο εύκολο να πας εσύ σε αυτούς παρά να έρθουν αυτοί σε εσένα.

Και τι πειραζει? 24/7 να τρεχει ενας υπολογιστης.... ή και περισσοτεροι.... αυτοματα δεν γινεται ολη η διαδικασια?

Sorry για τις ερωτησεις αλλα ειναι κατι που δεν εχω κανει στην πραξη ποτέ. Μονο θεωρητικα εχω σκεφτει πως μπορει να υπολοποιηθει.

Οποτε τρεχουν ολα αυτοματα... και οταν βρει "τρυπα" με καποιο τροπο ειδοποιει και αρχιζει χειροκινητα μετα καποιος την επιθεση. σωστα ?

[sdikr]

Φαντάσου να σκανάρουν 254 διευθύνσεις Χ y-port.
Και αυτό να το κάνουν Χ 254 και άλλες 254 κλπ.
Μιλάμε για πολλές ώρες/μέρες.
Είναι πιο εύκολο να πας εσύ σε αυτούς παρά να έρθουν αυτοί σε εσένα.

Δεν θέλει παραπάνω από κάποια Ms για κάθε πόρτ, αν μάλιστα γίνει και Multithreaded τότε μειώνεται ακόμα πιο πολύ.
Υπάρχουν προγράμματα που το κάνουνε αυτό.

[griniaris]

Δεν θέλει παραπάνω από κάποια Ms για κάθε πόρτ, αν μάλιστα γίνει και Multithreaded τότε μειώνεται ακόμα πιο πολύ.
Υπάρχουν προγράμματα που το κάνουνε αυτό.

Ms = millisecond ??

Χαζη ερωτηση .... και τελειως υποθετικη.

Εστω οτι υπαρχουν 100 τετοιοι τυποι παγκοσμιως ... και ταυτοχρονα και οι 100 σκαναρουν την ΙΡ μου .
Εμενα θα απασχολησει την CPU του router μου εστω κατα 0.01 % για να τρεξουν οι κανονες του firewall.

Αν υποθετικα αυτοι οι τυποι γινουν 10.000 και με σκαναρουν ταυτοχρονα , θεωρητικα η cpu μου θα χτυπησει 100% load . ετσι δεν ειναι?

Επειδη βλεπω οτι γινονται ολο και πιο ευκολα τα πραγματα για να γινει καποιος "hacker" ... καθως βγαινουν αυτοματοποιημενα προγραμματα και διαδικασιες ...

Οποτε καποια στιγμη στο απωτερο μελλον θα χρειαζεται να εχουμε αρκετα δυνατη cpu και για την δικη μας χρηση , αλλα και για την αποκρουση επιθεσεων ???


Υ.Γ. βλεπω να το γυρναω σε PFsence πιο νωρις απο οτι υπολογιζα.

[sdikr]

Ms = millisecond ??

Χαζη ερωτηση .... και τελειως υποθετικη.

Εστω οτι υπαρχουν 100 τετοιοι τυποι παγκοσμιως ... και ταυτοχρονα και οι 100 σκαναρουν την ΙΡ μου .
Εμενα θα απασχολησει την CPU του router μου εστω κατα 0.01 % για να τρεξουν οι κανονες του firewall.

Αν υποθετικα αυτοι οι τυποι γινουν 1.000.000 θεωρητικα η cpu μου θα αρχισει να εχει ολο και μεγαλυτερη χρηση. ετσι δεν ειναι?

Επειδη βλεπω οτι γινονται ολο και πιο ευκολα τα πραγματα για να γινει καποιος "hacker" ... καθως βγαινουν αυτοματοποιημενα προγραμματα...
Οποτε καποια στιγμη στο απωτερο μελλον θα χρειαζεται να εχουμε αρκετη δυνατη cpu και για την δικη μας χρηση , και για την αποκρουση επιθεσεων.


Υ.Γ. βλεπω να το γυρναω σε PFsence πιο νωρις απο οτι υπολογιζα.

Κάπως έτσι δουλεύει το DoS μαζεύονται πολλοί, όποτε ναι θα απασχολήσει κάπως το router σου, όπως θα απασχολήσει και το PFsense
Είναι πολλοί παραπάνω απο 100

[zark]

Σχετικά με το https://wiki.mikrotik.com/wiki/Drop_port_scanners, στο τελευταίο βήμα ίσως καλύτερα το drop να γίνεται στο RAW και όχι στο INPUT. Περισσότερες πληροφορίες εδώ https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Raw

[Nikiforos]

Σχετικά με το https://wiki.mikrotik.com/wiki/Drop_port_scanners, στο τελευταίο βήμα ίσως καλύτερα το drop να γίνεται στο RAW και όχι στο INPUT. Περισσότερες πληροφορίες εδώ https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Raw

Καλημέρα, οντως παρατηρησα ότι στο hap ac2 που εχω τωρα την 200αρα FTTH Ιnalan, όταν η λιστα είναι μεγαλη πχ 3000-5000+ τοτε η cpu εχει φορτια, όχι μεγαλα ή να εχω πρόβλημα αλλα δεν είναι στα συνηθισμένα επίπεδα κιολας.
Να το δω αυτό με το RAW γιατι είναι σημαντικο όπως βλεπω.
Φυσικα το βιολι με τους port scanners συνεχιζει ακομα από 31/3 μεχρι χτες που ειδα κάθε μερα περιπου κατά 2000πανω στην λιστα.
Περιμενω πως και πως να αλλαξει η Ip να δω αν θα συνεχιστεί αυτό το πραγμα...

[macro]

Αν το βαλεις raw δωστο και εδω το script και πες αν σου δουλευει το ιδιο καλα.Το νου σου στο raw, στο chain πρεπει να βαλεις prerouting αλλιως δε θα δουλευει.

Στο raw εσυ ειδικα μπορεις να βαλεις ολο το ddos attack που εχεις. Νικ για σενα λεω........

Γενικως στο raw ειναι καλο να εχεις ολα τα drops παντως.

[griniaris]

Καλημέρα, οντως παρατηρησα ότι στο hap ac2 που εχω τωρα την 200αρα FTTH Ιnalan, όταν η λιστα είναι μεγαλη πχ 3000-5000+ τοτε η cpu εχει φορτια, όχι μεγαλα ή να εχω πρόβλημα αλλα δεν είναι στα συνηθισμένα επίπεδα κιολας.
Να το δω αυτό με το RAW γιατι είναι σημαντικο όπως βλεπω.
Φυσικα το βιολι με τους port scanners συνεχιζει ακομα από 31/3 μεχρι χτες που ειδα κάθε μερα περιπου κατά 2000πανω στην λιστα.
Περιμενω πως και πως να αλλαξει η Ip να δω αν θα συνεχιστεί αυτό το πραγμα...

Σε 3-4 Vdsl διαφορων παροχων , ειχαμε κανει δοκιμες την προηγουμενη εβδομαδα . κλειναμε τα ρουτερ για αρκετη ωρα μεχρι να αλλαξουν ΙΡ .

ειδικα σε cosmote που επιτρεπει 3-4 ταυτοχρονα PPPoE με διαφορετικες public IP , βγηκαν ενδιαφερον αποτελεσματα.

ΜΕ το που σηκωνονταν το PPPoE , ασχετα απο παροχο , καινουρια ΙΡ , κατευθειαν πλημυριζε το log απο " επιθεσεις" .

το εντυπωσιακο ειναι οτι ειναι απο καθε γωνια της γης. ακομα και ΜΕΞΙΚΟ βρηκα.

Οσο μπορουσαμε εκανα καμμια 20αρια abuse alert ο καθενας. περιπου 80-90 συνολικα . αλλα ειναι λιγο κουραστικο.

[zark]

Σε 3-4 Vdsl διαφορων παροχων , ειχαμε κανει δοκιμες την προηγουμενη εβδομαδα . κλειναμε τα ρουτερ για αρκετη ωρα μεχρι να αλλαξουν ΙΡ .

ειδικα σε cosmote που επιτρεπει 3-4 ταυτοχρονα PPPoE με διαφορετικες public IP , βγηκαν ενδιαφερον αποτελεσματα.

ΜΕ το που σηκωνονταν το PPPoE , ασχετα απο παροχο , καινουρια ΙΡ , κατευθειαν πλημυριζε το log απο " επιθεσεις" .

το εντυπωσιακο ειναι οτι ειναι απο καθε γωνια της γης. ακομα και ΜΕΞΙΚΟ βρηκα.

Οσο μπορουσαμε εκανα καμμια 20αρια abuse alert ο καθενας. περιπου 80-90 συνολικα . αλλα ειναι λιγο κουραστικο.

Το ίδιο πρόβλημα και γω με cosmote. Άρχισα για πλάκα να loggarw στο tik όλα τα INPUT chain drops και ξαφνιάστηκα. Τα περισσότερα ήταν από Ρωσία. (και έχω ήδη σε RAW blocked 8000 IP blocks για όλη τη Κίνα)
Οι ports που βαράνε όπως έχει ειπωθεί και παραπάνω είναι τελείως random. Όσες IPs και να αλλάξω, το ίδιο.

[griniaris]

Το ίδιο πρόβλημα και γω με cosmote. Άρχισα για πλάκα να loggarw στο tik όλα τα INPUT chain drops και ξαφνιάστηκα. Τα περισσότερα ήταν από Ρωσία. (και έχω ήδη σε RAW blocked 8000 IP blocks για όλη τη Κίνα)
Οι ports που βαράνε όπως έχει ειπωθεί και παραπάνω είναι τελείως random. Όσες IPs και να αλλάξω, το ίδιο.

Ετσι ακριβως.

Διαβαζω αυτες τις μερες για GeoIP block μεσω pfsense. Σ/Κ θα κανω δοκιμες.

Αν πετυχω κατι σημαντικο θα ενημερωσω για οσους ενδιαφερονται.

[Nikiforos]

Καλησπέρα, εχω και nova adsl που πλεον παιζει στο 109, και cosmote adsl στο εξοχικο σε 951 και στις 2 συνδεσεις ΠΟΤΕ μα ΠΟΤΕ δεν εχει γραψει πανω απο 5 port scans ΤΗΝ ΕΒΔΟΜΑΔΑ!!!!!
την INALAN την εχω απο 15 Μαρτιου 2019 αν εγραφε καμια 10αρια την εβδομαδα θα ηταν θαυμα.
Απο τις 31/3/2020 που πηρα μια καταραμενη ip απο Cogent ΚΑΘΕ ΜΕΡΑ εχω περιπου 2000 καταγραφες! ΚΑΘΕ ΜΕΡΑ!!!!!! ΕΛΕΟΣ!!!!

- - - Updated - - -

Αν το βαλεις raw δωστο και εδω το script και πες αν σου δουλευει το ιδιο καλα.Το νου σου στο raw, στο chain πρεπει να βαλεις prerouting αλλιως δε θα δουλευει.

Στο raw εσυ ειδικα μπορεις να βαλεις ολο το ddos attack που εχεις. Νικ για σενα λεω........

Γενικως στο raw ειναι καλο να εχεις ολα τα drops παντως.

Καλησπέρα, δεν ξερω πως να τα κανω αυτα και δεν εχω χρονο να ασχοληθω κιολας, οταν βρω χρονο θα δουμε.
Mangle δεν εχω γιατι βλεπω να λες για chaιn και prerouting καταλαβα κατι λαθος ?

[macro]

Θα στο ποσταρω μολις βρω ευκαιρια στο firewall section για το port scanners και θα καταλαβεις τι εννοω.

[zark]

Απλά στο βήμα 3 θα βάλεις την port scan λίστα.