Страница 1 из 2
Drop лист
Добавлено: 28 июн 2013, 14:51
evgeny1024
есть железяка с Public IP - является гейткипером SIP/H323, которая используется для ВКС. Гейт защищает ethernet bridge на debian с iptables.
Поскольку железяка к телефонии не привязана, то "любителей халявы" отправлял в дроп лист постфактум просматривая логи Гейта. Но есть такие умники которые используют sipvivious и скрывают свой ip алиасом вида 100@1.1.1.1 и их приходится отлавливать с помощью tcpdump.
вопрос к сообществу существует ли какой-нибудь "online" черный список адресов с которых были замечены попытки позвонить за чужой счет?
если кому надо могу предоставить свой drop лист, коллекционирую уже 1.5 года.
Re: Drop лист
Добавлено: 28 июн 2013, 16:34
virus_net
про онлайн список ничего не скажу, не знаю таких
а вот это хочу прокомментировать:
evgeny1024 писал(а):коллекционирую уже 1.5 года
копить можно и 10-ть лет, но у IP-адресов могут меняться владельцы (провы), адреса могут переходить от юзера к юзеру, на IP может быть запущен NAT, за которым 1-н "олень" и 253 порядочных пользователя и т.п.
У себя таких баню скриптом, который адреса таскает из логов. Блокирую IP на сутки, а затем удаляю блокировку. Как показывает статистика в 95% случаев IP-шник более не возвращается.
evgeny1024 писал(а):и их приходится отлавливать с помощью tcpdump
но ведь это так же можно автоматизировать
Re: Drop лист
Добавлено: 28 июн 2013, 16:38
awsswa
бесполезно иметь общие списки - сканят со всех сетей.
Как только взломают очередной сервер - сразу превращают его в машину для сканирования.
Можно конечно блочить по странам - китай, тайвань, вьетнам, палестина
Re: Drop лист
Добавлено: 28 июн 2013, 16:44
ys1797
Зачем коллекционировать drop list ?
У меня он прост: drop any any
Намного проще коллекционировать allow лист
Re: Drop лист
Добавлено: 28 июн 2013, 16:47
virus_net
ys1797 писал(а):Намного проще коллекционировать allow лист
это факт, но не для каждой ситуации это подходит, например тебе нужно оставить возможность извне звонить по SIP твоим пользователям, тут allow лист не подойдет.
Re: Drop лист
Добавлено: 28 июн 2013, 17:02
ys1797
sip сигнализацию вешаю на порт 55029 (пример) по tcp, накручиваю ssl/tls и некоторое время живу спокойно до выхода из отпуска
Re: Drop лист
Добавлено: 29 июн 2013, 10:39
Samael28
А что за железяка, позвольте уточнить? Просто у меня похожая, проблему решил чуть по другому, через white-листы комнат.
Re: Drop лист
Добавлено: 29 июн 2013, 10:56
awsswa
Борьба со сканерами, проще простого
iptables -I INPUT -p udp --dport 5060 -m string --string "friendly-scanner" --algo bm -j DROP
iptables -I INPUT -p udp --dport 5060 -m string --string "sipvicious" --algo bm -j DROP
Re: Drop лист
Добавлено: 02 июл 2013, 17:23
evgeny1024
iptables -I INPUT -p udp --dport 5060 -m string --string "friendly-scanner" --algo bm -j DROP
iptables -I INPUT -p udp --dport 5060 -m string --string "sipvicious" --algo bm -j DROP
Спасибо, попробую!
Re: Drop лист
Добавлено: 02 июл 2013, 17:30
evgeny1024
virus_net писал(а):про онлайн список ничего не скажу, не знаю таких
а вот это хочу прокомментировать:
evgeny1024 писал(а):коллекционирую уже 1.5 года
копить можно и 10-ть лет...
evgeny1024 писал(а):и их приходится отлавливать с помощью tcpdump
но ведь это так же можно автоматизировать
Ну собственно Вы правы поэтому сюда и написал, чтобы люди направили в нужную сторону.