Server Absicherung mit einer Blacklist

[oehjg]

Um DDOS-Attacken zu verringern, setze ich eine externe Blacklist von Blocklist.de ein. Diese enthält aktuell über 20000 IP-Addressen und wird alle 30 Minuten aktuallisiert.

Vorab der Hinweis, dass Ihr hiermit potentielle Besucher aussperren könntet. Vor allem wenn Ihr Besucher aus dem ostasiatischen Bereich habt, da diese häufig betroffen sind.

Das benötigte Verzeichnis, habe ich unter „/var“ angelegt. Wo Ihr es schlussendlich verwendet, spielt keine Rolle.

Anlegen des Verzeichnisses, in dem der ganze Vorgang abläuft:
sudo mkdir /var/blacklist/

Skript anlegen:
vi /var/blacklist/blacklist

Hier das Skript zum kopieren, mit Erläuterung der einzelnen Befehle:

Code: Select all

#!/bin/bash

# Entfernung der alten Listen
 rm all.txt

# Herunterladen der aktuellen Liste
 wget http://lists.blocklist.de/lists/all.txt

# Löschen der alten Regeln
 iptables -F

# Kurze Wartezeit
 sleep 5

# Einlesen der neuen Liste und erstellen der Regeln
 while read line
 do
 iptables -A INPUT -s $line -j DROP
 done <all.txt

Skript ausführbar machen:
sudo chmod 755 /var/blacklist/blacklist

CronJob zur automatischen Ausführung einrichten:
vi /etc/crontab

#iptables blacklist
00 4 * * * root /var/blacklist/blacklist

Cron-Daemon neu laden
sudo /etc/init.d/cron reload

Hatte die Anleitung selber mal im Internet gefunden und finde die Lösung recht schlicht und einfach und das beste es funktioniert, die Attacken sind deutlich weniger

[select name from me;]

Vielen Dank für die Anleitung.

[ollidroll]

Vielen Dank.
Kurze Nachfrage:
Werden mit "iptables -F" nicht alle (auch die Regeln, die nicht von der Blocklist kommen) gelöscht? Also auch die, die fail2ban von sich aus generiert?

Danke & Viele Grüße
Olli

[Martin]

Hallo,

das ist korrekt, "iptables -F" leert alle Regeln, ändert aber nicht die Default Policy (Vorsicht also, wenn die Default Policy auf DROP steht).

Wenn ansonsten nur fail2ban genutzt wird reicht allerdings ein "service fail2ban restart" um die fail2ban Regeln wieder zu erzeugen.

[ollidroll]

Besten Dank.
Vielleicht noch ein Hinweis:
Fail2ban (v 0.94) sollte vor Anwendung des o.g. Scripts gestoppt werden, da sonst zu Fehlern beim Zugriff auf IpTables kommt.
Kann man auch in das Script einbauen. Des Weiteren sollte man noch eine Ausgabeumleitung definieren.

Viele Grüße
Olli

[ollidroll]

Ich nochmal...

Ich habe festgestellt das in der "all.txt" von blocklist.de teilweise auch Einträge mit ":" vorhanden sind. Z.B.

2001:0:5ef5:79fd:30fa:a1de:f1e3:c881

Diese Einträge laufen dann bei iptables auf Fehler.
Habe deshalb noch eine if-Schleife eingebaut, die nur die IP-Adressen einträgt. So vermeide ich Fehlermeldungen.

Hier das leicht angepasste Script:

Code: Select all

#!/bin/bash

# fail2ban stppen
sudo service fail2ban stop

# Entfernung der alten Listen
rm all.txt

# Herunterladen der aktuellen Liste
wget http://lists.blocklist.de/lists/all.txt

# Löschen der alten Regeln
iptables -F

# Kurze Wartezeit
sleep 5

# Einlesen der neuen Liste und erstellen der Regeln
while read line
do
if [[ $line =~ "." ]]
then
        iptables -A INPUT -s $line -j DROP
fi
done <all.txt

# fail2ban starten
sudo service fail2ban start

Im übrigen hat das Script eine Laufzeit von knapp 40 min. Ist das bei Euch auch so....?

[Martin]

Hallo,

dies wäre dann eine IPv6 Adresse, diese müsste in entsprechend in ip6tables eingetragen werden.

[Jolinar]

Um DDOS-Attacken zu verringern, setze ich eine externe Blacklist von Blocklist.de ein.

Das was du da machst, hat nix mit Abwehr von DDOS zu tun. Damit verringerst du einfach nur ein wenig das Grundrauschen zu Lasten der Performance. Einzig positiver Effekt: Die Logfiles der einzelnen Dienste werden etwas kleiner.

"Echte" DDOS-Angriffe erfordern eine eigene Infrastruktur zum intelligenten Filtern des Traffic. Viele seriöse Hoster bieten übrigens inzwischen einen mehr oder weniger guten DDOS-Schutz an, einfach weil sie selber daran interessiert sind, ihre Netzwerkinfrastruktur am Leben zu erhalten.