Panel IP Whois lookups [SOLVED]

[tab-kh]

Man kann doch nicht das ganze Land blockieren. Manche sind vielleicht ehrliche, chinesische Händler, die deine Daten klaufen wollen um sie weiterzuverkaufen.

[Ralph]

Man kann doch nicht das ganze Land blockieren. Manche sind vielleicht ehrliche, chinesische Händler, die deine Daten klaufen wollen um sie weiterzuverkaufen.

Doch das kann man wenn es sein muß ganz einfach ... 99,9% aller Verbindungen aus diesen Ländern sind derzeit nur Attacken basierend.
Solange die netten Jungs damit weitermachen, solange blockiere ich Länder die hinterhältige und böswillige Aktionen durchführen ... strikt und ohne Diskussion.

[Jolinar]

Man kann doch nicht das ganze Land blockieren. Manche sind vielleicht ehrliche, chinesische Händler, die deine Daten klaufen wollen um sie weiterzuverkaufen.

Doch das kann man wenn es sein muß ganz einfach ... 99,9% aller Verbindungen aus diesen Ländern sind derzeit nur Attacken basierend.
Solange die netten Jungs damit weitermachen, solange blockiere ich Länder die hinterhältige und böswillige Aktionen durchführen ... strikt und ohne Diskussion.

Ich glaube, @tab-kh hat das eher ironisch gemeint^^

[Ralph]

Ich glaube, @tab-kh hat das eher ironisch gemeint^^

Ja, ich verstehe ...
Die haben mir seit Jahren so sehr die Hölle heiß gemacht, da reicht bereits nur ein erwähnen der Beteiligten (rotes Tuch) um bei mir sämtliche Hutschnüre platzen zu lassen

[Jolinar]

Die haben mir seit Jahren so sehr die Hölle heiß gemacht, da reicht bereits nur ein erwähnen der Beteiligten (rotes Tuch) um bei mir sämtliche Hutschnüre platzen zu lassen

Dann bist du noch nicht lange genug im Geschäft...Irgendwann hat jeder Admin ein so dickes Fell, daß ihn nichts mehr aus der Ruhe bringt

[Fezzi]

Ich glaube, @tab-kh hat das eher ironisch gemeint^^

Ja, ich verstehe ...
Die haben mir seit Jahren so sehr die Hölle heiß gemacht, da reicht bereits nur ein erwähnen der Beteiligten (rotes Tuch) um bei mir sämtliche Hutschnüre platzen zu lassen

Ich kann das ja irgendwie nachvollziehen Geoblocking zu betreiben wenn man Server betreut welche in keiner Weise mit weltweiter Klientel zu tun haben.

Diese Vorgehensweise wird jedoch schnell kritisch, wenn nicht sogar geschaeftsschaedigend, fuer den ein oder anderen Kunden welcher mit diesen Laendern Geschaeftsbeziehungen pflegt und/oder sein Geschaeft weltweit auslegt.

Das nur mal so am Rande von jemanden der mit internationaler (ueberwiegend Asiatischer) Klientel arbeitet und sich das Geoblocking abschminken kann. Denn wuerde ich das so loesen, dann koennte ich meinen Laden dichtmachen weil die Kunden, zurecht, abwandern wuerden.

Ein Beispiel, die diskutierten Loesungen hier viewtopic.php?p=54950#p54950 beinhalten zum Beispiel auch fast alle IPs welche Thailaendische Kunden von Ihren ISPs zugewiesen bekommen. Da blockst Du dann gleich mal viele Firmen welche nichts mit Deinem Problem zu tun haben aber Du sperrst sie in "Sippenhaft" ... die Geschaefte die da Deinen Kunden durch die Lappen gehen koennen sind nicht ohne und ich wuerde mich bald bei Dir melden wenn ich einer dieser waere und auf eine Freischaltung bestehen... oder mir eben einfach einen anderen Dienstleister suchen der das anderst loest.

[Ralph]

Diese Vorgehensweise wird jedoch schnell kritisch, wenn nicht sogar geschaeftsschaedigend, fuer den ein oder anderen Kunden welcher mit diesen Laendern Geschaeftsbeziehungen pflegt und/oder sein Geschaeft weltweit auslegt.

Das muß ich derzeit in Kauf nehmen, ohne die blockings wären die Systeme aufgrund der Masse von Attacken kaum noch erreichbar bzw. brauchbar.
Glaub mir, es wäre mir lieber gar nicht blocken zu müssen ... diese Probleme oder Ursachen für die Attacken müssen Politiker lösen.

[Jolinar]

Das muß ich derzeit in Kauf nehmen, ohne die blockings wären die Systeme aufgrund der Masse von Attacken kaum noch erreichbar bzw. brauchbar.
Glaub mir, es wäre mir lieber gar nicht blocken zu müssen ... diese Probleme oder Ursachen für die Attacken müssen Politiker lösen.

Rein aus Neugier...
Welche Schutzebenen hast du denn auf deinen Maschinen etabliert? Nur Geoblocking oder auch Sachen wie WAF, CDN, Proxies...?

[Fezzi]

Das muß ich derzeit in Kauf nehmen, ohne die blockings wären die Systeme aufgrund der Masse von Attacken kaum noch erreichbar bzw. brauchbar.
Glaub mir, es wäre mir lieber gar nicht blocken zu müssen ... diese Probleme oder Ursachen für die Attacken müssen Politiker lösen.

Was hostest Du denn fuer Seiten dass diese ein beliebtes Angriffsziel darstellen? Die Frage stelle ich mir schon seit geraumer Zeit....

Das ist eine ernstgemeinte Frage, denn Deine Probleme kann ich so gut wie gar nicht nachvollziehen...

[Ralph]

Rein aus Neugier...
Welche Schutzebenen hast du denn auf deinen Maschinen etabliert? Nur Geoblocking oder auch Sachen wie WAF, CDN, Proxies...?

Alles außer CDN und Proxies ... aus Gründen der EU-Konformität
Es geht hierbei aber nicht um "gewöhnliche Hackerattacken" sondern vielmehr um gezielte Angriffe mit politischen Hintergrund die seit 10 Jahren ausgeführt wurden und stetig massiv ansteigen. Die Kontrolle über Kommunikationssysteme zu übernehmen scheint dabei eine große Rolle zu spielen, aber es könnte am Ende genauso gut auf die komplette Versorgungs Infrastruktur abzielen. Ich denke jeder kann sich selbst über historisch belegbare Dinge diesbezgl. informieren ... ich habe während der vergangenen 10 Jahre viel Zeit mit Analyse und Abwehr verbracht und kann mich sehr gut auch an die ursprünglichen Quellen erinnern.

[Jolinar]

Puuh...Nicht falsch verstehen, aber mich beschleicht ein bissel das Gefühl, daß du dich in deinem Wunsch nach Sicherheit ein klein wenig in einer Paranoia verlierst.

Alles außer CDN und Proxies ... aus Gründen der EU-Konformität

Es gibt EU-konforme Alternativen zu Cloudflare oder spezielle Cloudflare-Produkte/Einstellungen, die auf europäische Rechenzentren beschränkt werden können. Die pauschale Ablehnung aller CDN/Proxy-Lösungen ist ungewöhnlich, da diese Dienste essentiell für die Abwehr der von ihm beschriebenen Massenangriffe (DDoS) sind. Ein CDN/Proxy ist der beste Weg, um solche Angriffe abzufedern, ohne den Ursprungsserver zu belasten.

[Ralph]

Es gibt EU-konforme Alternativen zu Cloudflare oder spezielle Cloudflare-Produkte/Einstellungen, die auf europäische Rechenzentren beschränkt werden können. Die pauschale Ablehnung aller CDN/Proxy-Lösungen ist ungewöhnlich, da diese Dienste essentiell für die Abwehr der von ihm beschriebenen Massenangriffe (DDoS) sind. Ein CDN/Proxy ist der beste Weg, um solche Angriffe abzufedern, ohne den Ursprungsserver zu belasten.

OK ... es lässt sich nur nicht pauschal und vor allem beim shared Hosting Systemen anwenden und es würde nur ein wenig den Apache entlasten ... die Angriffe zielen jedoch auch auf andere Services ab und in den meisten Fällen sehe ich die Apache Attacken nur als Ablenkungsmanöver.
Es wurden weltweit massenhaft (ich schätze mehr als 50%) Systeme und Hardware erfolgreich manipuliert die für Folge Attacken z.b. aus dem internen Land verwendet werden. Das hat bereits seit einiger Zeit Biblische Ausmaße angenommen und dieses Problem ist nicht auf die schnelle mit einer CDN lösbar ... da kommt eine gewaltige Welle auf uns zu, die kaum noch aufzuhalten ist. Also ich sage dann schon mal "Lebt wohl meine Freunde"

[Jolinar]

Ich bin immer noch der Ansicht, daß du dich in dem Thema gerade verrennst...Ich will mal versuchen, deine Argumente möglichst unvoreingenommen zu bewerten:

Die Herausforderung beim Geoblocking, wie Fezzi korrekt bemerkt, ist in der Tat die Sippenhaft legitimer Kunden. Das ist ein großer Nachteil, wenn man international ausgerichtet ist.
Um diesen Kompromiß zu vermeiden und deinen Server effektiv zu entlasten, ist die Frage nach den vorgeschalteten Schutzebenen (CDN/Proxy) zentral, da sie die Angriffe am Netzwerkrand abfangen, bevor sie deine Systeme erreichen.

Deine Bedenken bezüglich der Nutzung von CDN/Proxies sind nachvollziehbar, aber aus technischer Sicht möglicherweise nicht zwingend hinderlich...
Shared Hosting: Dienste wie Cloudflare oder andere CDNs/WAFs sind in der Regel Hosting-unabhängig. Sie funktionieren durch eine Änderung der DNS-Einstellungen und sind damit auch bei Shared Hosting anwendbar.
EU-Konformität: Das ist ein sehr ernstes und wichtiges Thema. Allerdings gibt es inzwischen europäische Alternativen zu Cloudflare oder spezialisierte Tarife und Einstellungen, die eine reine Verarbeitung innerhalb der EU (oder unter strengen Compliance-Standards) ermöglichen. Eine pauschale Ablehnung aller Proxies/CDNs muß man daher nicht hinnehmen.

Du sprichst davon, daß die Apache-Angriffe oft nur ein Ablenkungsmanöver sind und die eigentlichen Attacken auf andere Services zielen.
Das ist richtig und bedeutet, daß man beides braucht:
Ein vorgeschalteter Dienst (CDN/WAF) ist der Goldstandard, um Layer-7-Angriffe (HTTP/Apache) und DDoS-Spitzen automatisch und skalierbar abzuwehren. Das entlastet deinen Server komplett.
Für die Angriffe auf andere Ports/Services (SSH, Mail, etc.) benötigst du Netzwerk-Firewalls und Intrusion Prevention (z.B. Fail2Ban oder CrowdSec) direkt auf deinem Server.
Wenn der Apache-Traffic über ein CDN abgewickelt wird, werden die "Ablenkungsmanöver" gar nicht erst zu einem Problem für deinen Server, sodaß du dich voll auf die Verteidigung der anderen Services konzentrieren kannst.
Vielleicht wäre die Nutzung einer europäischen WAF-Lösung für dich doch ein gangbarer Kompromiß, um die massive Angriffsflut zu managen und die Belastung von dir und deinem Server zu reduzieren, ohne internationale Kunden auszuschließen.

[Ralph]

„Keiner kommt hier lebend raus“ diskutieren ändert daran leider auch nichts
Aber um beim eigentlichen Thema zu bleiben, die lookups könnten wg. der vielen Attacken aufgrund von IP Recherchen einfach zeitweise überlastet sein, deswegen auch die rate limits.

[Ralph]

Ich bin immer noch der Ansicht, daß du dich in dem Thema gerade verrennst...Ich will mal versuchen, deine Argumente möglichst unvoreingenommen zu bewerten:

Du hast dir Mühe gegeben Joli und das weiß ich zu schätzen!
Es gibt aber Situationen (derzeit non stop) in der du bereit sein mußt Entscheidungen von einer auf die andere Sekunde zu treffen auch wenn es in einer Art von Triage endet ... umstrukturieren erfordert zumindest ein kleines Zeitfenster.
Ein GEO blocking mag ich auch nicht, es ist aber bei einigen (wenigen) Ländern derzeit erforderlich und ich denke in manchen Fällen wäre sogar zusätzlich ein massiver Gegenangriff angebracht und effektiver als nur ein defensives blocking.