[Eisfair] bfb: wird geblockt oder nicht?
Rolf Bensch
azubi at bensch-net.de
Mi Jul 26 17:04:59 CEST 2023
Hallo Olaf,
Am 24.07.23 um 21:26 schrieb Olaf Jaehrling:
>
> Wenn du eine frische Attacke hast kannst du dir das ja mal anschauen mittels iptables-save | grep $IP dann müsstest du die Zeit sehen, wenn wieder freigeschaltet wird. Beachte aber, dass die Zeit in UTC eingetragen ist.
habe gerade wieder eine Attacke:
│attack from 190.237.100.94 to MAIL on 26.07.2023 15:23:52
│attack from 190.237.100.94 to MAIL on 26.07.2023 15:24:59
│attack from 190.237.100.94 to MAIL on 26.07.2023 15:29:52
│attack from 190.237.100.94 to MAIL on 26.07.2023 15:35:09
│attack from 190.237.100.94 to MAIL on 26.07.2023 15:39:58
│attack from 190.237.100.94 to MAIL on 26.07.2023 15:44:54
│attack from 190.237.100.94 to MAIL on 26.07.2023 15:49:55
...
Jul 26 15:40:00 mail BFB[28510]: 190.237.100.94 wieder freigeschaltet.
Jul 26 15:40:04 mail BFB[29402]: address 190.237.100.94 blocked after 948 attempt to abuse MAIL
Jul 26 15:40:05 mail kernel: ATTACKER..IN=enx525400d25426 OUT= MAC=52:54:00:d2:54:26:e0:28:6d:bc:4c:97:08:00 SRC=190.237.100.94 DST=192.168.101.207 LEN=52 TOS=0x00 PREC=0x00 TTL=107 ID=28312 DF PROTO=TCP SPT=9256 DPT=587 WINDOW=8192 RES=0x00 SYN URGP=0
Jul 26 15:41:43 mail kernel: ATTACKER..IN=enx525400d25426 OUT= MAC=52:54:00:d2:54:26:e0:28:6d:bc:4c:97:08:00 SRC=190.237.100.94 DST=192.168.101.207 LEN=52 TOS=0x00 PREC=0x00 TTL=107 ID=28586 DF PROTO=TCP SPT=21864 DPT=587 WINDOW=8192 RES=0x00 SYN URGP=0
Jul 26 15:43:55 mail kernel: ATTACKER..IN=enx525400d25426 OUT= MAC=52:54:00:d2:54:26:e0:28:6d:bc:4c:97:08:00 SRC=190.237.100.94 DST=192.168.101.207 LEN=69 TOS=0x00 PREC=0x00 TTL=107 ID=29215 DF PROTO=TCP SPT=47959 DPT=587 WINDOW=259 RES=0x00 ACK PSH URGP=0
Jul 26 15:45:00 mail BFB[31481]: 190.237.100.94 wieder freigeschaltet.
Jul 26 15:45:03 mail BFB[31663]: address 190.237.100.94 blocked after 1123 attempt to abuse MAIL
Jul 26 15:45:26 mail kernel: ATTACKER..IN=enx525400d25426 OUT= MAC=52:54:00:d2:54:26:e0:28:6d:bc:4c:97:08:00 SRC=190.237.100.94 DST=192.168.101.207 LEN=52 TOS=0x00 PREC=0x00 TTL=107 ID=29589 DF PROTO=TCP SPT=27387 DPT=587 WINDOW=8192 RES=0x00 SYN URGP=0
Jul 26 15:50:01 mail BFB[26178]: 190.237.100.94 wieder freigeschaltet.
Jul 26 15:50:04 mail BFB[26395]: address 190.237.100.94 blocked after 1196 attempt to abuse MAIL
Jul 26 15:55:00 mail BFB[17298]: 190.237.100.94 wieder freigeschaltet.
Jul 26 15:55:53 mail kernel: ATTACKER..IN=enx525400d25426 OUT= MAC=52:54:00:d2:54:26:e0:28:6d:bc:4c:97:08:00 SRC=190.237.100.94 DST=192.168.101.207 LEN=40 TOS=0x00 PREC=0x00 TTL=46 ID=0 DF PROTO=TCP SPT=60910 DPT=587 WINDOW=259 RES=0x00 ACK URGP=0
Jetzt aber mit nftables. Aktiv sind damit "BFB_MAX_BLOCKING_TIME_MINUTES = 720" - habe mir damit also etwas Reaktionszeit verschafft. Wie würde eine Analyse mit nftables aussehen? Hab's mal so probiert:
# nft list ruleset | grep 190.237.100.94
ip saddr 190.237.100.94 limit rate 3/hour burst 1 packets log prefix "ATTACKER.." level debug
ip saddr 190.237.100.94 limit rate 3/hour burst 1 packets log prefix "ATTACKER.." level debug
ip saddr 190.237.100.94 limit rate 3/hour burst 1 packets log prefix "ATTACKER.." level debug
ip saddr 190.237.100.94 limit rate 3/hour burst 1 packets log prefix "ATTACKER.." level debug
ip saddr 190.237.100.94 limit rate 3/hour burst 1 packets log prefix "ATTACKER.." level debug
ip saddr 190.237.100.94 limit rate 3/hour burst 1 packets log prefix "ATTACKER.." level debug
ip saddr 190.237.100.94 limit rate 3/hour burst 1 packets log prefix "ATTACKER.." level debug
ip saddr 190.237.100.94 limit rate 3/hour burst 1 packets log prefix "ATTACKER.." level debug
ip saddr 190.237.100.94 limit rate 3/hour burst 1 packets log prefix "ATTACKER.." level debug
ip saddr 190.237.100.94 limit rate 3/hour burst 1 packets log prefix "ATTACKER.." level debug
ip saddr 190.237.100.94 limit rate 3/hour burst 1 packets log prefix "ATTACKER.." level debug
Das sieht für mich nicht so aus als müsste das so sein.
Grüße
Rolf
Mehr Informationen über die Mailingliste Eisfair