Cytat: jack49 w 2021-02-24 | 11:11:33 Myślę, że wycięcie tych adresów rozwiązałoby problem w co najmniej 80%

Są również normalni klienci z chin. Poza tym chinole nie tylko z chin atakują. Z całego świata: brazylia, argentyna, kanada, afryka wszędzie. Nie wytniesz wszystkiego.

Cytat: jack49 w 2021-02-24 | 11:11:33 Mamy w sieci czasem jakieś skanowania od skośnookich ale to raczej wyszukiwanie podatnych na daną lukę hostów.

Czy masz usługę hostingu u siebie  ?

Cytat: meeck w 2021-02-24 | 11:42:23 Są również normalni klienci z chin. Poza tym chinole nie tylko z chin atakują. Z całego świata: brazylia, argentyna, kanada, afryka wszędzie. Nie wytniesz wszystkiego.

Raczej wątpię aby ktoś z Chin czytał kornikowo więc nie wiem o jakich normalnych klientach tu mówimy ;-)

Cytat: meeck w 2021-02-24 | 11:42:23 Czy masz usługę hostingu u siebie  ?

Nie, jestem ISP.

Cytat: jack49 w 2021-02-24 | 11:47:09 Raczej wątpię aby ktoś z Chin czytał kornikowo więc nie wiem o jakich normalnych klientach tu mówimy ;-)

Ruch możesz przyciąć najprościej politykami na ruterach brzegowym (jak najbliżej 'granicy' swoje sieci, bo po co to wpuszczać dalej?), wycinając całe klasy adresowe. Jak hostujesz masowo usługi to zawsze trafi się jakiś klient, który będzie potrzebował nieczesanego ruchu do Chin, Malezji lub HK. No i w tym momencie cały mistery plan z wycinaniem po klasach adresowych w piz...u.

Cytat: wildi2 w 2021-02-24 | 12:16:38 Ruch możesz przyciąć najprościej politykami na ruterach brzegowym (jak najbliżej 'granicy' swoje sieci, bo po co to wpuszczać dalej?), wycinając całe klasy adresowe. Jak hostujesz masowo usługi to zawsze trafi się jakiś klient, który będzie potrzebował nieczesanego ruchu do Chin, Malezji lub HK. No i w tym momencie cały mistery plan z wycinaniem po klasach adresowych w piz...u.

Mówię o wycinaniu ruchu na serwerze kornikowo.pl ale do tego raczej musiałby być VPS, nie wiem czy takie coś można na hostingu zrobić.

Cytat: jack49 w 2021-02-24 | 12:20:13 Mówię o wycinaniu ruchu na serwerze kornikowo.pl ale do tego raczej musiałby być VPS, nie wiem czy takie coś można na hostingu zrobić.

No to nie ma sensu bo sam request już doleciał do twojej maszyny dedyk/vps, zużył zasoby i został policzony do ogólnej statystyki, nawet ja go zdropujesz na swoim serwerze:)

Cytat: wildi2 w 2021-02-24 | 12:30:17 No to nie ma sensu bo sam request już doleciał do twojej maszyny dedyk/vps, zużył zasoby i został policzony do ogólnej statystyki, nawet ja go zdropujesz na swoim serwerze:)

Tak, ale takie skanowania mają to do siebie, że jeśli z drugiej strony nic nie odpowiada to ustają.

Cytat: jack49 w 2021-02-24 | 12:32:12 takie skanowania mają to do siebie, że jeśli z drugiej strony nic nie odpowiada to ustają

Nieprawda, nie ustają. Mam nieużywane IP'ki i też są skanowane.

Działa to w ten sposób, że robot szuka konkretnej luki, próbuje nawiązać połączenie i jeśli nie dostanie odpowiedzi to sobie odpuszcza a jeśli jest odpowiedź to zaczyna się seria połączeń i próba przełamania zabezpieczeń. Wycięcie chińczyków nie spowoduje spadku połączeń do zera ale znacznie je ograniczy. Tak jest w większości przypadków.
Zrób test - wystaw sobie serwer ssh na domyślnym porcie i jak zauważysz, że ktoś zaczyna zgadywać hasło wytnij go na 15 minut, zobaczysz, że przestanie.

Cytat: jack49 w 2021-02-24 | 12:51:07
Działa to w ten sposób, że robot szuka konkretnej luki, próbuje nawiązać połączenie i jeśli nie dostanie odpowiedzi to sobie odpuszcza a jeśli jest odpowiedź to zaczyna się seria połączeń i próba przełamania zabezpieczeń. Wycięcie chińczyków nie spowoduje spadku połączeń do zera ale znacznie je ograniczy. Tak jest w większości przypadków.
Zrób test - wystaw sobie serwer ssh na domyślnym porcie i jak zauważysz, że ktoś zaczyna zgadywać hasło wytnij go na 15 minut, zobaczysz, że przestanie.

Wróci za 20minut jeśli tylko zwęszy, że coś było.
Problem w tym, że jak masz usługi publiczne typu hosting, VPS (a takie mam) to nie możesz wyciąć wszystkiego. Ataki to są fale, przez tydzień napi***alają DDOS, potem masz 2 tygodnie względnego spokoju (jak się firewalle zgadają że to ataki). Potem powrót, zabawa od nowa, nowe IP'ki z innej części świata, nowe identyfikatory, itd.

Cytat: jack49 w 2021-02-24 | 12:51:07 Zrób test - wystaw sobie serwer ssh na domyślnym porcie i jak zauważysz, że ktoś zaczyna zgadywać hasło wytnij go na 15 minut, zobaczysz, że przestanie.

W tym konkretnym przypadku pewnie przestanie ale za chwile znajdzie się inny amator otwartych portów i nasłuch*jących usług... i tak do zaj...ania. Od dawna RIPE nie daje już sensownych zakresów v4 ale jak jeszcze były to ch*jki czekały aż ktoś odpali nowy zakres i pierwszy miesiąc-dwa to zmasowane macanki, później robi się z tego tło.

Cytat: meeck w 2021-02-24 | 12:59:15 Wróci za 20minut jeśli tylko zwęszy, że coś było.

Zgadza się ale jeśli będziesz blokował na stałe to wykona tylko jedną próbę na dłuższy czas a nie "ile wlezie".

Cytat: meeck w 2021-02-24 | 12:59:15 Problem w tym, że jak masz usługi publiczne typu hosting, VPS (a takie mam) to nie możesz wyciąć wszystkiego.

Ale ja nie mówię, że ma to wycinać "hostingodawca" tylko, że można to wyciąć na VPS-ie kornikowo.pl.

Cytat: wildi2 w 2021-02-24 | 13:02:27 W tym konkretnym przypadku pewnie przestanie ale za chwile znajdzie się inny amator otwartych portów i nasłuch*jących usług... i tak do zaj...ania.

Jedna próba połączenia która zostanie odrzucona to znacznie mniej pochłoniętych zasobów niż "rozmawianie" z robotem który sprawdza czy strona jest oparta o Joomle, Wordpressa, phpBB czy jeszcze inne.

Cytat: wildi2 w 2021-02-24 | 13:02:27 Od dawna RIPE nie daje już sensownych zakresów v4 ale jak jeszcze były to ch*jki czekały aż ktoś odpali nowy zakres i pierwszy miesiąc-dwa to zmasowane macanki, później robi się z tego tło.

Zdanie "Od dawna RIPE nie daje już v4" też byłoby poprawne ;-) Do niedawna dawali nowym LIR-om /24 ale chyba już też się skończyły.

 

Cytat: jack49 w 2021-02-24 | 13:18:24 Do niedawna dawali nowym LIR-om /24 ale chyba już też się skończyły.

Stary też może dostać /24 z komitetu kolejkowego o ile nie miał wcześniej v4  ale to już żebry parzcież....

Tak czy tak czeka nas przesiadka na ipv6 jak np w Indiach.

Cytat: wildi2 w 2021-02-24 | 13:33:30 Stary też może dostać /24 z komitetu kolejkowego o ile nie miał wcześniej v4  ale to już żebry parzcież....

Jeszcze 2-3 lata temu dawali /22 więc nie wiem co to za sprytny LIR by musiał być żeby nie brał wtedy tylko teraz.

Cytat: meeck w 2021-02-24 | 13:44:46 Tak czy tak czeka nas przesiadka na ipv6 jak np w Indiach.

Nad czym bardzo ubolewam, ale to temat rzeka...

Ostatnie dwie strony sa fascynujące