Drop лист

evgeny1024 · Сообщение **evgeny1024** » 28 июн 2013, 14:51

есть железяка с Public IP - является гейткипером SIP/H323, которая используется для ВКС. Гейт защищает ethernet bridge на debian с iptables.

Поскольку железяка к телефонии не привязана, то "любителей халявы" отправлял в дроп лист постфактум просматривая логи Гейта. Но есть такие умники которые используют sipvivious и скрывают свой ip алиасом вида 100@1.1.1.1 и их приходится отлавливать с помощью tcpdump.

вопрос к сообществу существует ли какой-нибудь "online" черный список адресов с которых были замечены попытки позвонить за чужой счет?

если кому надо могу предоставить свой drop лист, коллекционирую уже 1.5 года.

virus_net · Сообщение **virus_net** » 28 июн 2013, 16:34

про онлайн список ничего не скажу, не знаю таких

а вот это хочу прокомментировать:

evgeny1024 писал(а):коллекционирую уже 1.5 года

копить можно и 10-ть лет, но у IP-адресов могут меняться владельцы (провы), адреса могут переходить от юзера к юзеру, на IP может быть запущен NAT, за которым 1-н "олень" и 253 порядочных пользователя и т.п.
У себя таких баню скриптом, который адреса таскает из логов. Блокирую IP на сутки, а затем удаляю блокировку. Как показывает статистика в 95% случаев IP-шник более не возвращается.

evgeny1024 писал(а):и их приходится отлавливать с помощью tcpdump

но ведь это так же можно автоматизировать

awsswa · Сообщение **awsswa** » 28 июн 2013, 16:38

бесполезно иметь общие списки - сканят со всех сетей.
Как только взломают очередной сервер - сразу превращают его в машину для сканирования.
Можно конечно блочить по странам - китай, тайвань, вьетнам, палестина

ys1797 · Сообщение **ys1797** » 28 июн 2013, 16:44

Зачем коллекционировать drop list ?

У меня он прост: drop any any

Намного проще коллекционировать allow лист

virus_net · Сообщение **virus_net** » 28 июн 2013, 16:47

ys1797 писал(а):Намного проще коллекционировать allow лист

это факт, но не для каждой ситуации это подходит, например тебе нужно оставить возможность извне звонить по SIP твоим пользователям, тут allow лист не подойдет.

ys1797 · Сообщение **ys1797** » 28 июн 2013, 17:02

sip сигнализацию вешаю на порт 55029 (пример) по tcp, накручиваю ssl/tls и некоторое время живу спокойно до выхода из отпуска

Samael28 · Сообщение **Samael28** » 29 июн 2013, 10:39

А что за железяка, позвольте уточнить? Просто у меня похожая, проблему решил чуть по другому, через white-листы комнат.

awsswa · Сообщение **awsswa** » 29 июн 2013, 10:56

Борьба со сканерами, проще простого

iptables -I INPUT -p udp --dport 5060 -m string --string "friendly-scanner" --algo bm -j DROP
iptables -I INPUT -p udp --dport 5060 -m string --string "sipvicious" --algo bm -j DROP

evgeny1024 · Сообщение **evgeny1024** » 02 июл 2013, 17:23

iptables -I INPUT -p udp --dport 5060 -m string --string "friendly-scanner" --algo bm -j DROP
iptables -I INPUT -p udp --dport 5060 -m string --string "sipvicious" --algo bm -j DROP
Спасибо, попробую!

evgeny1024 · Сообщение **evgeny1024** » 02 июл 2013, 17:30

virus_net писал(а):про онлайн список ничего не скажу, не знаю таких
а вот это хочу прокомментировать:
evgeny1024 писал(а):коллекционирую уже 1.5 года
копить можно и 10-ть лет...
evgeny1024 писал(а):и их приходится отлавливать с помощью tcpdump
но ведь это так же можно автоматизировать

Ну собственно Вы правы поэтому сюда и написал, чтобы люди направили в нужную сторону.

Drop лист

Drop лист

Re: Drop лист

Re: Drop лист

Re: Drop лист

Re: Drop лист

Re: Drop лист

Re: Drop лист

Re: Drop лист

Re: Drop лист

Re: Drop лист