[erledigt] Massive Attacken von multiplen IP-Adressen

[TomL]

Ja, der Server ist gut gehärtet, ... aber es stellt sich die Frage, was ist Ressourcen schonender im Falle eines (Dauer-)Angriffs, die HMAC-Firewall oder der Paketfilter?

Tja, die Frage überfordert mich. So rein laienhaft würde ich vermuten, weil die HMAC-FW schon ein dem Paketfilter nachgeschalteter Prozess ist, ist es hier eben ein weiterer, zusätzlicher Verarbeitungsschritt, und das (im Gegensatz zu den Netfilter-Modulen) sogar außerhalb des Kernels und darüber hinaus imho auch auf einem höheren Layer. Außerdem verewigen sich die HMAC-Failed's ja auch im LOG, nur halt im VPN-Log, das heisst, statt journald im Log des Daemons... also auch nicht wirklich eine Verbesserung.

Im Grundegenommen liegen also die Conntrack-Module auf der einen Waage-Seite, und die Daemon-eigenen Prozesse auf der anderen... was wiegt hinsichtlich CPU-Last mehr? Aber ich kann (und will) ja nicht grundsätzlich aufs Traffic-Tracking verzichten, ich halte das für wertvoll... und so groß sind die Recent-Tabellen selbst durch die Attacke nicht geworden... es waren ja nicht tausende von SADDR, sondern nur 1000e von Zugriffen einer eher kleineren Anzahl von SADDR.

Ich würde jetzt sagen, wenn ich auf das Logging des Paketfilters verzichten würde, wäre der Paketfilter imho die performanteste Verarbeitung... aber diese Entscheidung an einem einzigen Vorfall in etlichen Jahren festzumachen, wäre m.M.n. auch ein wenig unüberlegter Aktionismus. Außerdem, was mir auch wichtig ist/war, ich verwende das Journald-Logging eben auch als faktisches Positiv-Fazit beim täglichen Kontrollüberblick. Darauf müsste ich dann verzichten... und ich glaube, das würde mir weniger gut gefallen.

[mat6937]

Darüber hinaus verewigen sich die HMAC-Failed's ja auch im LOG, nur halt im VPN-Log, das heisst, statt journald im Log des Daemons... also auch nicht wirklich eine Verbesserung.

Das Loggen sollte nicht das Problem sein, denn man könnte VPN so konfigurieren, dass nicht geloggt wird und journald könnte man deaktivieren.

[TomL]

Das halte ich überhaupt nicht für eine gute Idee. Das Logging ist ja (zumindest für mich) ein wesentlicher Bestandteil meiner Maßnahmen zur Sicherstellung der lokalen Netzhygiene. Das abzuschalten halte ich sogar für grob fahrlässig, egal obs der Daemon ist oder journald. Außerdem, der Paketfilter loggt ja nicht automatisch nach journald, ich habe das ja für diese Recent-Kandidation ausdrücklich so eingestellt. Generelles Abschalten schließe ich jedenfalls aus

Hast Du das bei Dir alles deaktiviert?

[mat6937]

Das halte ich überhaupt nicht für eine gute Idee.

OK, ich hätte noch ergänzen sollen, dass man das temporär machen kann, d. h. nur für die Zeitdauer von Performance-Tests.

Hast Du das bei Dir alles deaktiviert?

Ich habe das alles deaktiviert (... nach einer Testphase), aber ich benutze UDP und einen anderen Port als 1194.

[TomL]

...aber ich benutze UDP und einen anderen Port als 1194.

Das ist hier nicht anders. Hier läuft der Daemon lediglich 2 mal, eben als Fallback auch für TCP. Auf dem UDP-Port passiert so gut wie gar nichts....

[TomL]

Moin@all

Die Angriffe gingen bis gestern abend ca. 22:00 Uhr unvermindert heftig weiter . Ich habe dann zunächst meinen MyFritz-DynDNS-Account deaktiviert und den DSL-Router neu gestartet. Danach war erst mal Ruhe. In der Nacht hats dann nur wieder die ganz normalen quasi obligatorischen Zufalls-Treffer-Attacken gegeben. Heute morgen habe ich den alten DNS-Account komplett stillgelegt und einen neuen eingerichtet... jetzt muss ich mal abwarten, wie es in den nächsten Tagen weitergeht.

Es sieht also tatsächlich so aus, als wäre meine MF-DynDNS-Adresse das Opfer gewesen und als wäre diese Adresse gottweisswohin verteilt worden . Die über viele Stunden ankommenden TCP-Syn-Flag-Pakete kamen zu zig-tausenden zuletzt aus der ganzen Welt, Russland, Amerika, China, Korea. Ich verstehe nur eines an der ganzen Sache nicht ... mir ist schon klar, dass da nicht irgendwelche Typen hundertausende Male meine Adresse auswählen und auf die Entertaste drücken, das tut 'nen stumpfsinniger Bot. Ich kapiere nur nicht, wieso tut der das über viele Stunden lang immer wieder neu, obwohl aus meinem Netz keine Antwort kommt, weil die Pakete verworfen wurden. Selbst ein Bot muss doch irgendwann merken, wenn die Leitung tot ist. Oder denken die, wahrscheinlich ist um 9:00 Uhr Schichtbeginn und ein Thebentimer öffnet mit der Begrüßung "Hereinspaziert" die Türen in mein Netz und die warten einfach darauf?

Hat vielleicht jemand eine Erklärung, warum das bei diesen Attacken so abläuft.... um das ein wenig besser zu verstehen?

[mat6937]

Ich kapiere nur nicht, wieso tut der das über viele Stunden lang immer wieder neu, obwohl aus meinem Netz keine Antwort kommt, weil die Pakete verworfen wurden. Selbst ein Bot muss doch irgendwann merken, wenn die Leitung tot ist.
...
Oder denken die, wahrscheinlich ist um 9:00 Uhr Schichtbeginn und ein Thebentimer öffnet mit der Begrüßung "Hereinspaziert" die Türen in mein Netz und die warten einfach darauf?

Ich denke, dass deine Art der Absicherung, unter den MF-Account-Inhabern die Ausnahme ist.
Bei den meisten wird dann doch irgendwann eine Antwort kommen und deshalb diese beharrlichen Scans.
Evtl. mal temporär (einige Monate) auf den MF-Account verzichten und in diesem Zeitraum einen anderen ddns-Provider nutzen.

[wanne]

Ich kapiere nur nicht, wieso tut der das über viele Stunden lang immer wieder neu, obwohl aus meinem Netz keine Antwort kommt, weil die Pakete verworfen wurden.

Weil die halt – im Gegensatz zu den üblichen Firewalladmins – verstehen wie man Effizente Software schreibt: Was dir weh tut ist state zu behalten. Alles was sich ansatzweise wie Statistik anhört ist ganz sicher teuer.
Das Botnetz wird wohl nicht nur gegen dich Angriffe fahren und deswegen gehen die Sparsam mit ihren Ressourcen um. So ein Syn raus senden kostet gar nichts. Sich jedes Sysn zu merken und dann zu schauen, ob da eine Anzwort drauf kommt ist um Größenordnungen teurer. Deswegen feuer die halt ohne auf Rückmeldung zu warten oder zu reagieren.
Viele sogar noch mit falscher Source-IP. Da kommt dann by desighn nichts durch.

Was sicherlich richtig ist: fail2ban ist in seiner neuen Architektur viel "fetter" (speicherhungriger) geworden und bei einem "echten ddos" sowieso eher ein Klotz am Bein. Es wird relativ aufwändig geprüft und geprüft, aber nichts gesperrt.

Reines Netfilter (z.B. mit recent modul) wäre da schon deutlich leichtgewichtiger, würde aber bei vollständiger distribution genauso ins Leere laufen und letztlich nur überflüssige zusätzliche Last erzeugen.

Ich bezog mich explizit auf fail2ban.
Wenn du wirklich die nur wie mit dem recent Modul die Requests begrenzt hat TomL schon recht:

es begrenzt die Request-Rate und die Anzahl der Connects und verwirft "failed" Anfragen.

Das Problem ist das fail2ban "failed" Anfragen nicht nur einfach verwirft sondern sich merkt. – Und das auch noch auf extrem ineffiziente Art und Weise. Während der Rest der Welt Enormen Einsatz in immer Effizentere Hash- und Zählalgorithem steckt logt fail2ban und muss dass dann auch noch dauernd parsen. Je anfragen desto mehr Einträge, für 100 Requests musst du schon 5000 Zeilen aufändig parsen während man im nginx optimiert ob man jetzt mit schneller ist, wenn man 100 mal ein 2 oder 4 Byte Value anfassen muss...

[TomL]

Ein wenig ärgere ich mich, dass ich nicht mehr alle Daten habe... ich konnte mir also nur noch das ansehen, was ich zwischendurch mal gesichert habe. Anhand meiner Daten konnte ich in dem kurzen Zeitraum über (mindestens) 1400 IP-Adressen auf meinem Server als Gast begrüßen ... die natürlich allesamt umgehend rausgeworfen wurden.

Die Tabelle, aufsteigend sortiert nach Häufigkeit der Versuche.... leider ist das nur ein kleines Zeitfenster.... aber interessant isses schon....:
40822

Die Spitzenreiter seit gestern abend 18:00 Uhr ...

Code: Alles auswählen

    102 SRC=66.11.117.226
    160 SRC=66.11.117.120
    270 SRC=154.223.181.180
    692 SRC=31.14.234.216
    804 SRC=192.250.197.244
   1234 SRC=192.250.197.246

Sich jedes Sysn zu merken und dann zu schauen, ob da eine Anzwort drauf kommt ist um Größenordnungen teurer. Deswegen feuer die halt ohne auf Rückmeldung zu warten oder zu reagieren.

Was ist denn dann überhaupt der Sinn der Aktion, wenn die einfach nur feuern, ohne zu gucken, ob die was getroffen haben? Was passiert denn mit Zufallsteffern, von denen die ja dann gar nix mitkriegen?

Das Problem ist das fail2ban "failed" Anfragen nicht nur einfach verwirft sondern sich merkt. – Und das auch noch auf extrem ineffiziente Art und Weise.

Fail2ban verwirft ja nach meinem Verständnis gar nicht, das erstellt bloß ne Regel im Paketfilter und pflegt dafür ne eigene Recentlist. Das ist genau das, was auch mir nicht passt. Das Programm muss sich alles merken, damits nach Ablauf des jeweiligen Element-Timeouts wieder weiß, an welcher Stelle welcher Eintrag im Pakektfilter entfernt werden muss. Das ist ein absolut krasser Verwaltungsoverhead .... ...und alles deutlich weniger effizient, als das der Kernel selber tut.

[mat6937]

Was ist denn dann überhaupt der Sinn der Aktion, wenn die einfach nur feuern, ...

Der Sinn der Aktion ist, den Dienst der auf dem Port 443 lauscht zu überlasten, damit dieser nicht mehr genutzt werden kann bzw. nicht mehr erreichbar ist.
Das ist kein Angriff um in dein System einzudringen.

[TomL]

Seit gestern Mittag Punk 12:00 Uhr ist Schluss... ... als wenn da jemand das Licht ausgeknipst hat, die Heftigkeit und die für meine Verhältnisse extrem hohe Anzahl von Zugriffen war mit einem Schlag vorbei. Was ist das für ein Scheiss? Seit gestern Highnoon sind es nur noch die paar obligatorischen Versuche, die immer reinkommen und die ich schon in der Vergangenheit auch nicht weiter beachtet habe.

Der Sinn der Aktion ist, den Dienst der auf dem Port 443 lauscht zu überlasten, damit dieser nicht mehr genutzt werden kann bzw. nicht mehr erreichbar ist. Das ist kein Angriff um in dein System einzudringen.

Wenn das die Erklärung wäre, dann verstehe ich die Welt überhaupt nicht mehr. Wieso suchen die sich nen völlig unbedeutenden privaten und vor allem unbekannten Server aus, von dem sie nicht mal wissen, wer auf diesem Server wann, was womit wofür nutzt? Das hat ja den gleichen Charakter, als würden spät in der Nacht ein paar Besoffene in fremder Stadt auf dem Rückweg ins Hotel wahllos Autoantennen- und Scheibenwischer abbrechen. Das können doch unmöglich Leute sein (die Drahtzieher dahinter), intelligente Spezialisten, die imstande sind, hocheffektiven Code zu schreiben, wie Wanne das angedeutet hat.

[mat6937]

Wieso suchen die sich nen völlig unbedeutenden privaten und vor allem unbekannten Server aus, von dem sie nicht mal wissen, wer auf diesem Server wann, was womit wofür nutzt?

Naja, wenn man mutmaßt, dass es evtl. einen Zusammenhang mit deinem MF-Account gibt und was weiß ich wie viele der MF-Account-Inhaber (... %?) den Port 443 weitergeleitet/geöffnet haben, dann könnte das schon die Ursache sein.

Das können doch unmöglich Leute sein (die Drahtzieher dahinter), intelligente Spezialisten, die imstande sind, hocheffektiven Code zu schreiben, ...

Die Leute die diesen Code benutzen, müssen ja nicht die Leute sein, die diesen Code geschrieben haben.

[TomL]

Naja, wenn man mutmaßt, dass es evtl. einen Zusammenhang mit deinem MF-Account gibt und was weiß ich wie viele der MF-Account-Inhaber (... %?) den Port 443 weitergeleitet/geöffnet haben, dann könnte das schon die Ursache sein.

Ja, richtig, das stimmt wohl. Wenn man mal drüber nachdenkt, kann man ja durchaus davon ausgehen, dass nur die "Leute" einen MF-DynDNS-Account haben, die auch einen offenen Port bzw. einen vom Internet erreichbaren Service am Laufen haben. Mannomann... was ne verquere Welt... ich selber denke ja anscheinend nur viel zu sehr in den Grenzen meiner eigenen kleinen Welt, die anderen nix böses will... da sind solche Interessen und Motivationen zu solchen Vorfällen einfach inkompatibel. Naja, mal abwarten, wie es weitergeht.

[TRex]

Seit gestern Mittag Punk 12:00 Uhr ist Schluss... ... als wenn da jemand das Licht ausgeknipst hat, die Heftigkeit und die für meine Verhältnisse extrem hohe Anzahl von Zugriffen war mit einem Schlag vorbei. Was ist das für ein Scheiss? Seit gestern Highnoon sind es nur noch die paar obligatorischen Versuche, die immer reinkommen und die ich schon in der Vergangenheit auch nicht weiter beachtet habe.

"Ups, falsches Haus, sorry!"

[TomL]

"Ups, falsches Haus, sorry!"

Ja, das scheint auch eine plausible Erklärung zu sein.

Ich habe mir jetzt gerade noch mal die jetzt aktuellen Logs angesehen, die leider nicht mehr den ganzen Zeitraum umfassen.
40823

Am Vergleich der beiden großen Pakete "letzte Tage" und "letzte 24 Stunden" ist der Rückgang deutlich erkennbar. Was ich aber interessant (resp. bedenklich) finde, worauf auch Wanne schon hingewiesen hat, dass die anscheinend etliche verschiedene SADDR-IPs auf einem System verwenden. Die Subnetze /24 und teilweise /16 sind auffällig oft gleichbleibend...

[wanne]

Was ist denn dann überhaupt der Sinn der Aktion, wenn die einfach nur feuern, ohne zu gucken, ob die was getroffen haben? Was passiert denn mit Zufallsteffern, von denen die ja dann gar nix mitkriegen?

Na zwei Möglichkeiten: Kunde ist zufrieden und zahlt weiter. Dann gehts weiter oder halt nicht, dann ist, wie bei dir, halt 12 Schluss. Ob man da jetzt den falschen getroffen hat oder nicht genug ressourcen hatte ist dem DDOS-Anbieter Wurst.
Das erklärt btw. auch warum die wenig Interesse an Monitoring haben. Das ist "Aufgabe" vom Kunden, der das meist eher spärlich tut.

[TomL]

Na zwei Möglichkeiten: Kunde ist zufrieden und zahlt weiter. Dann gehts weiter oder halt nicht, dann ist, wie bei dir, halt 12 Schluss. Ob man da jetzt den falschen getroffen hat oder nicht genug ressourcen hatte ist dem DDOS-Anbieter Wurst. Das erklärt btw. auch warum die wenig Interesse an Monitoring haben. Das ist "Aufgabe" vom Kunden, der das meist eher spärlich tut.

Wie meinst Du das "Kunde ist zufrieden und zahlt weiter". Wie fliesst denn das Geld in Richtung derer, die Attackieren? Wo ist denn da überhaupt ein Abgleich, ein Austausch, irgendwas... wenn doch sowohl Opfer als auch Täter gar nix voneinander wissen. Ich verstehe das nicht.

Aber um das Thema jetzt mal technisch abzuschließen... die Normalität ist zunächst mal zurückgekehrt: @mat6937, dieser eher geringe Umfang war auch bisher der Grund, warum ich die Logs beibehalten will... ich sehe mit einem Blick zusammengefasst, ob mir irgendwas kopfzerbrechen bereiten sollte.

Code: Alles auswählen

Netfilter Blacklisted:
5.188.0.0/16
71.6.0.0/16
84.95.0.0/16
106.75.0.0/16
139.162.0.0/16
184.105.0.0/16
185.53.0.0/16
191.96.0.0/16
191.101.0.0/16
198.108.0.0/16
208.93.0.0/16
216.218.0.0/16

Journal accumulation blacklisted IPs with connection attempts yesterday:
      8 SRC=84.95.214.222
      1 SRC=71.6.232.7
      1 SRC=216.218.206.84
      1 SRC=208.93.152.20

Journal accumulation blacklisted IPs with connection attempts at last few days:
      8 SRC=84.95.214.222
      1 SRC=71.6.232.7
      1 SRC=216.218.206.84
      1 SRC=208.93.152.20
      1 SRC=208.93.152.17
      1 SRC=198.108.66.70
      1 SRC=185.53.91.150
      1 SRC=139.162.125.159

Journal accumulation temporarily banned IPs with connection attempts yesterday:
      2 SRC=110.249.212.46

Journal accumulation temporarily banned IPs with connection attempts at last few days:
      3 SRC=172.247.55.148
      2 SRC=110.249.212.46

Connection attempts yesterday:
E6320/2.247.242.220             19. Aug. 2019   Mon  15:47:15
35.195.84.222                   19. Aug. 2019   Mon  05:17:52
110.249.212.46                  19. Aug. 2019   Mon  05:48:29
110.249.212.46                  19. Aug. 2019   Mon  05:48:29
146.88.240.25                   19. Aug. 2019   Mon  08:02:23
169.197.108.6                   19. Aug. 2019   Mon  23:36:35
185.101.33.134                  19. Aug. 2019   Mon  04:42:58

Connection attempts summary at last few days:
E6320/2.247.242.220             19. Aug. 2019   Mon  15:47:15
E6320/2.247.242.248             17. Aug. 2019   Sat  18:16:04
E6320/2.247.242.248             17. Aug. 2019   Sat  18:17:58
18.136.107.20                   15. Aug. 2019   Thu  06:36:29
35.195.84.222                   19. Aug. 2019   Mon  05:17:52
37.49.231.15                    18. Aug. 2019   Sun  17:03:42
45.83.65.2                      17. Aug. 2019   Sat  10:12:16
45.83.66.128                    17. Aug. 2019   Sat  05:34:46
49.234.186.188                  17. Aug. 2019   Sat  13:19:57
54.153.119.60                   17. Aug. 2019   Sat  13:36:50
54.198.159.218                  15. Aug. 2019   Thu  05:33:18
60.191.38.77                    15. Aug. 2019   Thu  06:31:27
61.219.11.153                   15. Aug. 2019   Thu  14:43:27
66.240.205.34                   16. Aug. 2019   Fri  05:29:16
66.240.205.34                   18. Aug. 2019   Sun  01:39:36
77.247.108.77                   16. Aug. 2019   Fri  18:17:09
77.247.108.77                   17. Aug. 2019   Sat  08:41:42
77.247.108.77                   18. Aug. 2019   Sun  01:17:25
78.39.67.210                    16. Aug. 2019   Fri  07:26:50
80.82.70.118                    18. Aug. 2019   Sun  02:54:01
103.93.76.52                    15. Aug. 2019   Thu  15:01:07
104.200.24.128                  15. Aug. 2019   Thu  01:45:52
107.170.200.63                  18. Aug. 2019   Sun  01:26:16
110.249.212.46                  17. Aug. 2019   Sat  00:27:33
110.249.212.46                  19. Aug. 2019   Mon  05:48:29
110.249.212.46                  19. Aug. 2019   Mon  05:48:29
113.96.223.207                  17. Aug. 2019   Sat  07:55:56
145.239.205.42                  16. Aug. 2019   Fri  10:25:44
145.239.205.42                  16. Aug. 2019   Fri  10:25:44
146.88.240.20                   17. Aug. 2019   Sat  03:00:52
146.88.240.25                   19. Aug. 2019   Mon  08:02:23
146.88.240.37                   16. Aug. 2019   Fri  06:13:38
162.209.181.236                 16. Aug. 2019   Fri  06:18:06
162.209.181.236                 16. Aug. 2019   Fri  06:18:06
162.243.137.229                 18. Aug. 2019   Sun  04:24:19
162.243.150.58                  16. Aug. 2019   Fri  17:57:13
164.52.24.162                   18. Aug. 2019   Sun  00:16:59
167.71.10.167                   17. Aug. 2019   Sat  20:03:48
167.71.10.167                   18. Aug. 2019   Sun  14:24:49
169.197.108.6                   19. Aug. 2019   Mon  23:36:35
172.104.242.173                 15. Aug. 2019   Thu  15:17:55
172.105.86.120                  17. Aug. 2019   Sat  17:38:41
172.247.55.148                  18. Aug. 2019   Sun  09:27:44
172.247.55.148                  18. Aug. 2019   Sun  09:27:45
180.179.20.251                  16. Aug. 2019   Fri  09:24:38
185.101.33.134                  19. Aug. 2019   Mon  04:42:58
193.106.29.210                  16. Aug. 2019   Fri  14:27:29
193.106.29.210                  18. Aug. 2019   Sun  20:38:41
195.142.115.111                 16. Aug. 2019   Fri  18:43:31
209.17.97.90                    16. Aug. 2019   Fri  01:25:00

Connections accept summary at last few days:
2.247.242.220                   19. Aug. 2019   Mon  15:44:33
2.247.242.248                   17. Aug. 2019   Sat  18:15:58
2.247.242.248                   17. Aug. 2019   Sat  18:17:02


VPN-Access - Festgestellt:  Di 20. Aug 00:01:02 CEST 2019

[mat6937]

@mat6937, dieser eher geringe Umfang war auch bisher der Grund, warum ich die Logs beibehalten will...

OK.

Wie war das im Zeitraum bzw- während der massiven Attacken, ... hat dein Router (als border device) und/oder deine Geräte (inkl. der Server) noch Zugang ins Internet (d. h. nach außen), ... oder war das auch beeinträchtigt durch diese massiven Attacken?

[TomL]

Nee, leider... ob es Beeinträchtigungen gab, konnte ich nicht genau feststellen.... ich habe zumindest nichts vordergründiges bemerkt. Was ich mir allerdings schon vorstellen kann, dass systemd-journald auf dem Server stark belastet war... es wurden ja in relativ kurzer Zeit quasi in Dauer-Feuer-Manier Logeinträge geschrieben. Aber auch da hätte ich das nur bemerkt, wenn ich vielleicht gerade selber bezgl. der angreifenden CPU-Last konkurrierende Jobs gestartet hätte, vielleicht mit viel Schreiben und Lesen von der Platte z.B. beim Kopieren. Aber das macht man ja auch nicht ständig. Von meinem Backup-Konzept habe ich auch keine Fehlermeldung bekommen - ich will mal sehen, ob ich noch die Lauf-Zeiten vergleichen kann.Und der ganze Kleinkram wie Mail, cups, Samba ist da wohl mehr oder weniger unbehelligt durchmarschiert. Ich vermute mal, meine DSL-Verbindung hatte dabei sogar durchaus auch noch Reserven... aber auch dabei kann ich nur raten oder schätzen. Ich glaube, der größte Stress lag wohl bei mir und weniger im Netzwerk weil ich erst mal mit einer Einschätzung der Situation einigermaßen überfordert war. Dieses Ausmaß war für mich tatsächlich eine neue Erfahrung.

[mat6937]

Und der ganze Kleinkram wie Mail, cups, Samba ist da wohl mehr oder weniger unbehelligt durchmarschiert. Ich vermute mal, meine DSL-Verbindung hatte dabei sogar durchaus auch noch Reserven...

OK, das meinte ich (... und nicht wegen einer evtl. Belastung der Geräte durch das Loggen bzw. das Abwehren des Angriffs). D. h. ein Upload von dir irgendwohin ins Internet oder ein Download über einen anderen Port von einem deiner Geräte in Richtung Internet, hätte weiterhin funktioniert.
Ich frage deshalb, weil ich einen Server direkt im Internet (ohne Router) habe und der ist so eingerichtet/konfiguriert, dass wenn er aus irgendeinem Grund für >/= 30 Minuten keinen Zugang ins Internet hat, herunter fährt. Bis jetzt stimmen die Down-Zeiten mit den wenigen nächtlichen Wartungszeiten (> 30 min) meines ISP, überein.

[TomL]

Diese verdammten Mist-Bots.... ... jetzt geht das schon wieder los.....

Code: Alles auswählen

Netfilter Blacklisted:
5.188.0.0/16
71.6.0.0/16
84.95.0.0/16
106.75.0.0/16
139.162.0.0/16
184.105.0.0/16
185.53.0.0/16
191.96.0.0/16
191.101.0.0/16
198.108.0.0/16
208.93.0.0/16
216.218.0.0/16

Journal accumulation blacklisted IPs with connection attempts yesterday:
      1 SRC=185.53.91.150

Journal accumulation blacklisted IPs with connection attempts at last few days:
      1 SRC=185.53.91.150

Journal accumulation temporarily banned IPs with connection attempts yesterday:
   1006 SRC=34.204.127.143
    792 SRC=54.84.236.184
    671 SRC=35.153.29.228
    647 SRC=34.236.210.142
    623 SRC=18.233.252.8
    425 SRC=35.168.86.183
    424 SRC=3.210.226.246
      5 SRC=110.249.212.46

[debianuser4782]

Ich kam die letzten Tage und heute ab 22 Uhr nur mit Unterbrechungen ins Internet.
Ich habe heute aus Neugier mal in den gufw-Bericht geschaut und mir ist folgendes aufgefallen:

Protokoll: UDP
Anschluss (Port?): Hat andauernd gewechselt 44389, 35296, 4033965, 41378, 48427, 59312 ...usw
Adresse: 169.254.9.76
Anwendung: systemd-timesyncd

Anschließend habe ich im terminal den Befehl "ip monitor" eingegeben und dann nach ein paar Minuten das hier gesehen:40961
Nach einem Profilreset in gufw und Neustart des Systems war der Spuk erstmal vorbei. Ist das eine DDos-Attacke? Oder sind das nur Anfragen von einem falsch beendeten openvpn- / Tor-Daemon? Hätte es Einfluss auf einen Angriff, wenn man in den Firewalleinstellungen vorübergehend "verwerfen" oder "ablehnen" auswählt?

[TomL]

Hast Du im DSL-Router für vom Internet kommende Verbindungsanfragen offene Ports eingestellt und eine Weiterleitung auf den PC eingerichetet? Welche Ports für welche IP-Protokolle sind das?

[debianuser4782]

Es handelt sich um ein von vodafone bereitgestelltes neues Kabel-Modem von "cbn".
Modell: CH7466CE (https://kabel.vodafone.de/static/media/ ... 7466CE.pdf)
Firmware Version: CH7466CE-4.50.20.3-NOSH
Ich benutze ausschließlich LAN.
Die Einstellungsmöglichkeiten bei diesem Modem sind gering. Ich überlege mir daher eine fritzbox zu kaufen:
40962
---------------------
selbst installierte pakete auf meinem System (debian buster ohne unfreie firmware):
xorg openbox slim feh tint2 lxrandr mousepad pcmanfm gufwn macchanger apt-transport-tor tor apparmor-profiles apparmor-profiles-extra pulseaudio openvpn dnscrypt-proxy qemu-kvm libvirt-clients libvirt-daemon-system virt-manager

ipv6 hab ich im OS deaktiviert.
Ich gehe über 2 Tails VMs udn eine debian testing VM (ggf mit kommerziellem) VPN ins Internet
Auf dem Host habe ich einen komerziellen VPN-Anbieter über openvpn laufen. Ich gehe davon aus, dass der Verkehr der Tails-VMs durch den VPN tunnel - jedenfalls aber der nicht torifizierte Traffic aus den VM (bei Tails der "unsafe browser" und in der debian VM der normale Browser) - geleitet wird.
Ich benutze oft den suspend-Modus anstatt über Nacht nach den Laptop auszuschalten. Am Tag starte ich alle Verbindungen manuell neu, da ich hierfür noch keine Automatisierung basteln konnte.
Bei dnscrypt-proxy gehe ich davon aus, dass das Programm nach dem Installieren automatisch funktioniert.
Bei gufw habe ich "Zuhause" aktiviert (eingehend: Verweigern ausgehend: erlauben)
Bei den komerziellen VPNs und gufw weiß ich, dass du diese lieber entfernt hättest. Ich will das aber im Moment so, soweit es nicht (potentiell) schadet.
--------------------------------
Eine Weiterleitung auf dem PC habe ich meines Wissens nicht eingerichtet. Was ist eine Weiterleitung genau?
Um für vom Internet kommende Verbindungsanfragen offene Ports einzustellen reichen obige Einstellungsoptionen meines Routers aus? (https://kabel.vodafone.de/static/media/ ... 7466CE.pdf)
Ich kann frühestens heute abend oder morgen wieder antworten.
Vielleich relevant: Aktuelle Gefährdungsmeldung aus den IT-Bereich hinischtlich Kabel-Modems:
https://www.heise.de/security/meldung/C ... 39967.html

[TomL]

Eine Weiterleitung auf dem PC habe ich meines Wissens nicht eingerichtet. Was ist eine Weiterleitung genau?
Um für vom Internet kommende Verbindungsanfragen offene Ports einzustellen reichen obige Einstellungsoptionen meines Routers aus?

Wenn vom Internet eine TCP- oder UDP-Anfrage am Router ankommt, kann der damit eigentlich nix anfangen... solche Pakete haben immer ein durch ein Protokoll festgelegtes standardisiertes Ziel, z.B. Port 80 für HTTP, Port 443/HTTPS, 22/SSH, 21/FTP, 1194/VPN, 445/CIFS, usw.... da gibts unzählige. Auf dem Router existieren dafür üblicherweise keine für unsere Ansprüche passenden Programme, also muss der Router das Paket an ein Ziel im LAN weiterleiten, also auf irgendeinen Server, der für dieses Paket und dieses Protokoll eine entsprechende Anwendung (Daemon) laufen hat und auf dem entsprechenden Port am Netzwerkinterface lauscht.
Ich würde erwarten, dass jeder DSL-Router im Regelfall solche Möglichkeiten hat. Und wenn man diese Port-Freigaben nicht bewusst und vorsätzlich im Router freischaltet, sollte der Router solcherart infrage kommenden Pakete einfach verwerfen... was er vermutlich täglich millionenfach auch erfolgreich tut. Man kann das durchaus als rudimentäre Firmware-Firewall des Routers bezeichnen.

Also, kurz gesagt, hast Du da nix freigegeben, sind das mit ziemlicher Sicherheit auch keine Attacken aus dem Internet, sondern lokaler Traffic, der von innerhalb des LAN initiiert wurde, wobei der aber eben auch ins Internet gehen kann und anschließend mit irgendwas als Response auch wieder zurückkommt.

Bei den komerziellen VPNs und gufw weiß ich, dass du diese lieber entfernt hättest. Ich will das aber im Moment so, soweit es nicht (potentiell) schadet.

Tja, das kann die Ursache sein...es muss nicht, aber es kann. Wenn Du also eine unfreie proprietäre Software eines quasi anonymen VPN-Providers installiert hast (als Binary), dessen wahre Absichten Du gar nicht kennst, weisst Du auch nicht, was diese Software tut. Du hast keinerlei Kontrolle darüber, ob sie Verbindungen ins Internet aufbaut und möglicherweise auch lokale Ressource irgendwem zur Verfügung stellt.

Wie Deine UFW da jetzt reinspielt und ob die da irgendwas blockiert hat, weiss ich nicht... oder anders gesagt, sie hat ja was blockiert, man weiss aber nicht, wie viel sie nicht blockiert hat, weil sie es nicht bemerkt hat, wenn Verbindungen von innen heraus established wurden.

Ich persönlich bin an der Stelle wohl eher kompromisslos und rigoros eingestellt... ich würde einen solchen PC als kompromittiert betrachten und vermutlich komplett neu aufsetzen. Aber wie gesagt, das muss man nicht unbedingt ernst nehmen... ist halt nur meine Meinung.