Blacklist, ganze Netzwerke ausschliessen wegen massiver Zugriffe

[ttsarche]

Hallo, ich leide zur Zeit wieder unter gewaltigen Attacken auf mehrere meiner Webseiten.
Frage: Wenn ich die Blacklist Funktion vom modified-shop nutze, kann ich auch ganze ClassB Netzwerke angeben in der Form 220.186.0.0/24, damit wären ja rund 16.000 Hosts gesperrt. Gibt es was zur Schreibweise zu sagen oder so ok?
MfG

Linkback: https://www.modified-shop.org/forum/index.php?topic=40511.0

[GTB]

Aktuell unterstützen wir nur vollständige IP Adressen und keine Ranges. Zudem werden die geblockten Adressen nach 1 Stunde wieder freigegeben.

Besser du machst das in der .htaccess

Code: PHP  [Auswählen]

order deny,allow
deny from 220.186.0.0/24

Gruss Gerhard

[sEdeMi]

@GTB

Nimms mir nicht übel, aber ich hätte bei Deiner Antwort etwas mehr Feingefühl erwartet. Mal eben eine (1) IP-Adresse blocken, ist eine Sache, aber die Frage des Themenstarters damit zu beantworten, dass man ihm 1 zu 1 aufzeigt, wie man gleich ein ganzes Class B Netzwerk blocken kann, finde ich etwas, nein nicht etwas, sondern mächtig unverantwortlich.

Einmal abgesehen davon, dass bereits ein Class C zu blocken mächtig auf die Performance geht, schießt man mit einem Class B Netzwerk so ziemlich alles ab. Die .htaccess eignet sich nur bedingt zum Blocken von IPs. Gut für einzelne IPs, aber bitte nicht einen ganzen Subnetz Bereich und schon gleich gar nicht ein Class B Bereich.

Dabei gehts ja nicht nur um die Performance, sondern auch darum, dass man mit dem Blocken eines ganzes Subnetzes zumeist über das Ziel hinausschießt und mehr Gutes blockt als man Böses damit blocken kann.

Ich kann den Themenstarter deswegen nur dazu ermuntern die/den Bösewicht etwas genauer zu untersuchen, was auch bedeutet, dass man in sehr kurzen Abständen nachjustiert, aber eben bitte nicht über das Blocken eines Class C oder B Subnetzes, wenn man nicht auch eine Firewall betreibt mit der sich so was weit weniger Ressourcen fressend handeln kann.

[ttsarche]

Die Antwort war nicht zu grob für mich
Ich werde diesen Weg aber nun aber über eine Blacklist für den ganzen Server gehen, keine Bange, ich schaue immer vorher die B Netzwerke mit utrace an, bevor ich das scharfschalte.
Es ist unglaublich, was mit den Jahren da an ungewünschten Zugriffen aus St Petersburg und China hinzukommen ist, würde mich interessieren wie ihr sowas regelt.
Gruß aus HH.

[sEdeMi]

@ttsarche

Ich unterstelle Dir mal, dass Du es deswegen nicht als zu grob empfindest, weil Du die Tragweite nicht abschätzen kannst und die ist mächtig! Deswegen kann ich Dich nur nochmal davor warnen diesen "Tipp" anzuwenden!

Utrace.de für die Recherche anzuwenden ist maximal fehlertolerant, will heißen alte und unzureichende Daten. Wenn Du es genauer und vor allem aktuell haben willst, dann nimm https://ipinfo.io/.

Aus Deiner Antwort schließe ich, dass Du davon ausgehst, dass eine schädliche IP vom letzten Jahr auch im übernächsten Jahr noch schädlich ist. Es ist aber alles andere als wie Du denkst und darin liegt ja auch die Gefahr, dass man mit der ganzen Blockerei mehr Gutes als Böses blockt. Warum glaubst Du denn, dass die ganzen seriösen Filterlisten ihre Blocklisten täglich aktualisieren?

Wenn Du nach einer Lösung suchst, die ihrer Bezeichnung nach zumindest annähernd dem entspricht, was sie beschreibt, dann bauchst Du dafür eine Firewall nebst Intrusion Detection System. Die bietet zwar auch keinen 100%igen Schutz, ist aber um den Faktor 100 besser als die ganze starre IP Blockerei über die .htaccess. Vor allem aber geht damit die Performance nicht in die Knie. Dafür braucht man aber keinen dedizierten Server und gibt es sogar kostenlos.

https://www.configserver.com/cp/csf.html

Der Vollständigkeit halber hier mal ein paar anerkannte Filterlisten. Der Nutzen dieser Listen generiert sich aber nicht daraus, dass man alle Listen gleichzeitig verwendet.

# Spamhaus Don't Route Or Peer List (DROP)
# Details: http://www.spamhaus.org/drop/
#SPAMDROP|86400|0|http://www.spamhaus.org/drop/drop.txt

# Spamhaus IPv6 Don't Route Or Peer List (DROPv6)
# Details: http://www.spamhaus.org/drop/
#SPAMDROPV6|86400|0|https://www.spamhaus.org/drop/dropv6.txt

# Spamhaus Extended DROP List (EDROP)
# Details: http://www.spamhaus.org/drop/
#SPAMEDROP|86400|0|http://www.spamhaus.org/drop/edrop.txt

# DShield.org Recommended Block List
# Details: http://dshield.org
#DSHIELD|86400|0|http://www.dshield.org/block.txt

# TOR Exit Nodes List
# Set URLGET in csf.conf to use LWP as this list uses an SSL connection
# Details: https://trac.torproject.org/projects/tor/wiki/doc/TorDNSExitList
TOR|86400|0|https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=1.2.3.4

# BOGON list
# Details: http://www.team-cymru.org/Services/Bogons/
#BOGON|86400|0|http://www.cymru.com/Documents/bogon-bn-agg.txt

# Project Honey Pot Directory of Dictionary Attacker IPs
# Details: https://www.projecthoneypot.org
#HONEYPOT|86400|0|https://www.projecthoneypot.org/list_of_ips.php?t=d&rss=1

# C.I. Army Malicious IP List
# Details: http://www.ciarmy.com
#CIARMY|86400|0|http://www.ciarmy.com/list/ci-badguys.txt

# BruteForceBlocker IP List
# Details: http://danger.rulez.sk/index.php/bruteforceblocker/
#BFB|86400|0|http://danger.rulez.sk/projects/bruteforceblocker/blist.php

# MaxMind GeoIP Anonymous Proxies
# Set URLGET in csf.conf to use LWP as this list uses an SSL connection
# Details: https://www.maxmind.com/en/anonymous_proxies
#MAXMIND|86400|0|https://www.maxmind.com/en/anonymous_proxies

# Blocklist.de
# Set URLGET in csf.conf to use LWP as this list uses an SSL connection
# Details: https://www.blocklist.de
# This first list only retrieves the IP addresses added in the last hour
#BDE|3600|0|https://api.blocklist.de/getlast.php?time=3600
# This second list retrieves all the IP addresses added in the last 48 hours
# and is usually a very large list (over 10000 entries), so be sure that you
# have the resources available to use it
#BDEALL|86400|0|http://lists.blocklist.de/lists/all.txt

# Stop Forum Spam
# Details: http://www.stopforumspam.com/downloads/
# Many of the lists available contain a vast number of IP addresses so special
# care needs to be made when selecting from their lists
#STOPFORUMSPAM|86400|0|http://www.stopforumspam.com/downloads/listed_ip_1.zip

# Stop Forum Spam IPv6
# Details: http://www.stopforumspam.com/downloads/
# Many of the lists available contain a vast number of IP addresses so special
# care needs to be made when selecting from their lists
#STOPFORUMSPAMV6|86400|0|http://www.stopforumspam.com/downloads/listed_ip_1_ipv6.zip

# GreenSnow Hack List
# Details: https://greensnow.co
#GREENSNOW|86400|0|https://blocklist.greensnow.co/greensnow.txt