[erledigt] Massive Attacken von multiplen IP-Adressen

[TomL]

Die Bedeutung von dnsmasq erschließt sich mir nicht.

Das kann ich vermutlich anhand der letzten Ausgaben auflösen. Ich nehme jetzt mal an, dass die qemu-VMs keine eigenständigen LAN-Clients sind, sondern i.ü.S. im Modus "isolated network" werkeln. Das bedeutet, die VMs haben keine LAN-IP, sondern arbeiten in einem eigenem Subnet, mit einem eigenen IP-Range, für das das auf dem physischen Host laufende dnsmasq der DHCP-Server ist. Der Traffic ins LAN oder ins Internet wird dann via Paketfilter auf dem Host genattet. Für mich besteht hier der Nachteil, dass man sie via SSH nur über den Umweg Host erreichen kann, hätten sie eine eigene LAN-IP, verhalten sie sich im Netz wie normale andere PCs, sind also auch direkt via SSH (oder VNC) erreichbar.

Der Zugriff auf die VMs erfolgt über den Qemu-internen VNC-Treiber, also gehe ich mal davon aus, dass das ganze Paket headless auf einem PC ohne Bildschirm und Keyboard läuft, aber weil das auf Localhost lauscht, sieht es aus, als wäre es eine lokale Installation mit Bildschirm und Tastatur. Schwierig, eine fremde Maschine richtig zu interpretieren, noch schwieriger ist es mit fremden Absichten.

Bei einer lokalen Installation mit Bildschirm und Keyboard/Mouse wäre statt VNC-Treiber allerdings der Spice-Treiber plus lokalen Virtviewer die bessere Wahl, das braucht dann keinen Lauscher auf offenen Ports. Aber das kann ich jetzt von hier nicht einschätzen....

Anschließend habe ich im terminal den Befehl "ip monitor" eingegeben und dann nach ein paar Minuten das hier gesehen:40961

Aber egal, dieses Listing oberhalb kann ich nicht erklären. Ich habe keine Idee, von wo bzw. aus welchem Log bzw. von welchem Daemon bzw. von welchem Programm bzw. von welcher Verbindung diese IPs herkommen. Ich habe keine Ahnung, ob das besuchte Adressen sind oder vielleicht sogar auch Besucher. Wenn sich dazu hier niemand anders äußern kann und 'ne Idee hat, muss ich passen.

[debianuser4782]

Ich bedanke mich für Deine Hilfe!

[TomL]

Monate lang war gar nix, und gestern geht wieder die Post ab... gesamtdauer etwa 24 Stunden.
Die Zahl vor der IP ist die Anzahl der Zugriffsversuche, die an meinem Paketfilter auf dem Server gescheitert sind.
Die unteren beiden Pakete "Connection attempts" zeigen, wann welche IP wirklich beim Service angekommen ist.

Code: Alles auswählen

Netfilter Blacklisted:
5.188.0.0/16
23.225.0.0/16
71.6.0.0/16
84.95.0.0/16
106.75.0.0/16
139.162.0.0/16
184.105.0.0/16
185.53.0.0/16
191.96.0.0/16
191.101.0.0/16
198.108.0.0/16
208.93.0.0/16
216.218.0.0/16

Journal accumulation blacklisted IPs with connection attempts yesterday:
      1 SRC=198.108.66.24
      1 SRC=185.53.91.28
      1 SRC=184.105.139.67

Journal accumulation blacklisted IPs with connection attempts at last few days:
     16 SRC=185.53.91.28
      2 SRC=71.6.232.7
      2 SRC=5.188.210.158
      2 SRC=208.93.153.177
      2 SRC=208.93.152.17
      2 SRC=139.162.125.159
      1 SRC=71.6.233.72
      1 SRC=71.6.233.195
      1 SRC=71.6.233.128
      1 SRC=216.218.206.68
      1 SRC=216.218.206.109
      1 SRC=198.108.67.20
      1 SRC=198.108.66.80
      1 SRC=198.108.66.69
      1 SRC=198.108.66.67
      1 SRC=198.108.66.66
      1 SRC=198.108.66.24
      1 SRC=198.108.66.236
      1 SRC=198.108.66.182
      1 SRC=198.108.66.165
      1 SRC=198.108.66.156
      1 SRC=198.108.66.104
      1 SRC=184.105.247.247
      1 SRC=184.105.247.238
      1 SRC=184.105.247.232
      1 SRC=184.105.247.227
      1 SRC=184.105.247.224
      1 SRC=184.105.247.212
      1 SRC=184.105.247.204
      1 SRC=184.105.139.67
      1 SRC=184.105.139.122

Journal accumulation temporarily banned IPs with connection attempts yesterday:
   6411 SRC=61.196.173.124
   2611 SRC=211.249.226.104
    206 SRC=66.116.104.214
    112 SRC=61.196.174.5
     65 SRC=110.249.212.46
     51 SRC=61.196.173.122
      1 SRC=104.27.181.209

Journal accumulation temporarily banned IPs with connection attempts at last few days:
   6411 SRC=61.196.173.124
   2611 SRC=211.249.226.104
    345 SRC=164.52.24.162
    206 SRC=66.116.104.214
    112 SRC=61.196.174.5
     65 SRC=110.249.212.46
     58 SRC=83.97.20.34
     51 SRC=61.196.173.122
     29 SRC=198.20.103.242
     29 SRC=107.6.171.130
     25 SRC=128.14.133.50
      3 SRC=104.27.181.209

Connection attempts yesterday:
61.219.11.153                   09. Mar. 2020   Mon  05:06:58
61.219.11.153                   09. Mar. 2020   Mon  14:06:02
89.163.143.8                    09. Mar. 2020   Mon  16:19:34
107.174.26.194                  09. Mar. 2020   Mon  14:15:44
107.174.26.194                  09. Mar. 2020   Mon  14:15:44
128.14.134.170                  09. Mar. 2020   Mon  06:52:48
162.247.74.74                   09. Mar. 2020   Mon  16:19:46
164.68.112.178                  09. Mar. 2020   Mon  17:08:48
169.197.108.6                   09. Mar. 2020   Mon  17:43:02
185.34.33.2                     09. Mar. 2020   Mon  16:22:18
192.241.218.19                  09. Mar. 2020   Mon  06:32:09
192.241.219.99                  09. Mar. 2020   Mon  17:03:04
192.241.225.141                 09. Mar. 2020   Mon  20:59:15
193.106.29.210                  09. Mar. 2020   Mon  19:15:27
195.142.115.111                 09. Mar. 2020   Mon  11:08:42

Connection attempts summary at last few days:
5.101.0.209                     06. Mar. 2020   Fri  06:03:19
5.101.0.209                     06. Mar. 2020   Fri  06:06:03
5.101.0.209                     06. Mar. 2020   Fri  08:14:41
5.8.10.202                      06. Mar. 2020   Fri  09:32:32
5.8.10.202                      06. Mar. 2020   Fri  09:32:32
37.187.74.151                   07. Mar. 2020   Sat  02:13:45
37.49.226.9                     07. Mar. 2020   Sat  14:01:02
45.143.220.167                  06. Mar. 2020   Fri  13:16:27
45.143.220.167                  06. Mar. 2020   Fri  13:16:28
45.143.220.239                  06. Mar. 2020   Fri  05:04:46
45.148.10.72                    06. Mar. 2020   Fri  03:13:08
45.227.255.224                  05. Mar. 2020   Thu  21:09:19
45.33.80.76                     06. Mar. 2020   Fri  19:15:05
45.56.78.64                     06. Mar. 2020   Fri  09:10:51
45.56.78.64                     08. Mar. 2020   Sun  02:53:23
45.56.78.64                     08. Mar. 2020   Sun  15:24:25
50.116.7.184                    07. Mar. 2020   Sat  13:38:53
51.178.78.153                   07. Mar. 2020   Sat  01:41:50
51.91.212.80                    05. Mar. 2020   Thu  06:27:29
51.91.212.80                    08. Mar. 2020   Sun  11:27:57
54.242.67.153                   06. Mar. 2020   Fri  12:44:33
61.219.11.153                   06. Mar. 2020   Fri  10:18:23
61.219.11.153                   08. Mar. 2020   Sun  00:07:22
61.219.11.153                   08. Mar. 2020   Sun  02:27:56
61.219.11.153                   08. Mar. 2020   Sun  16:22:29
61.219.11.153                   09. Mar. 2020   Mon  05:06:58
61.219.11.153                   09. Mar. 2020   Mon  14:06:02
74.82.47.3                      05. Mar. 2020   Thu  01:25:52
89.163.143.8                    09. Mar. 2020   Mon  16:19:34
92.118.160.61                   06. Mar. 2020   Fri  23:40:39
92.118.161.13                   05. Mar. 2020   Thu  18:58:10
92.246.84.210                   06. Mar. 2020   Fri  15:37:31
92.246.84.210                   06. Mar. 2020   Fri  15:37:31
94.102.56.151                   05. Mar. 2020   Thu  06:24:56
107.174.26.194                  05. Mar. 2020   Thu  16:31:01
107.174.26.194                  05. Mar. 2020   Thu  16:31:01
107.174.26.194                  06. Mar. 2020   Fri  17:12:04
107.174.26.194                  06. Mar. 2020   Fri  17:12:05
107.174.26.194                  07. Mar. 2020   Sat  12:14:03
107.174.26.194                  07. Mar. 2020   Sat  12:14:07
107.174.26.194                  09. Mar. 2020   Mon  14:15:44
107.174.26.194                  09. Mar. 2020   Mon  14:15:44
110.249.212.46                  05. Mar. 2020   Thu  09:22:22
110.249.212.46                  05. Mar. 2020   Thu  09:22:23
110.249.212.46                  05. Mar. 2020   Thu  09:24:10
110.249.212.46                  05. Mar. 2020   Thu  09:24:10
110.249.212.46                  05. Mar. 2020   Thu  09:24:12
110.249.212.46                  07. Mar. 2020   Sat  12:37:07
110.249.212.46                  07. Mar. 2020   Sat  12:37:07
110.249.212.46                  07. Mar. 2020   Sat  12:37:07
110.249.212.46                  07. Mar. 2020   Sat  12:37:07
128.14.134.170                  09. Mar. 2020   Mon  06:52:48
144.91.126.71                   06. Mar. 2020   Fri  13:41:47
144.91.88.216                   07. Mar. 2020   Sat  17:23:10
146.88.240.25                   06. Mar. 2020   Fri  19:33:48
146.88.240.27                   05. Mar. 2020   Thu  18:25:51
162.247.74.74                   09. Mar. 2020   Mon  16:19:46
164.52.24.162                   07. Mar. 2020   Sat  16:39:30
164.52.24.162                   07. Mar. 2020   Sat  16:39:30
164.52.24.162                   07. Mar. 2020   Sat  16:39:30
164.52.24.162                   07. Mar. 2020   Sat  16:39:31
164.68.112.178                  09. Mar. 2020   Mon  17:08:48
169.197.108.6                   07. Mar. 2020   Sat  13:21:44
169.197.108.6                   09. Mar. 2020   Mon  17:43:02
172.104.242.173                 08. Mar. 2020   Sun  03:51:53
172.105.89.161                  05. Mar. 2020   Thu  05:58:19
185.107.47.215                  06. Mar. 2020   Fri  04:05:04
185.220.101.60                  06. Mar. 2020   Fri  04:05:06
185.34.33.2                     09. Mar. 2020   Mon  16:22:18
192.241.213.65                  08. Mar. 2020   Sun  16:30:28
192.241.218.19                  09. Mar. 2020   Mon  06:32:09
192.241.219.99                  09. Mar. 2020   Mon  17:03:04
192.241.220.219                 06. Mar. 2020   Fri  12:23:07
192.241.224.141                 07. Mar. 2020   Sat  12:26:31
192.241.225.141                 09. Mar. 2020   Mon  20:59:15
192.241.234.143                 05. Mar. 2020   Thu  12:09:15
193.106.29.210                  06. Mar. 2020   Fri  13:43:51
193.106.29.210                  09. Mar. 2020   Mon  19:15:27
193.202.44.194                  06. Mar. 2020   Fri  07:38:34
193.202.44.194                  06. Mar. 2020   Fri  07:38:34
193.202.44.194                  08. Mar. 2020   Sun  23:40:41
193.202.44.194                  08. Mar. 2020   Sun  23:40:42
195.142.115.111                 09. Mar. 2020   Mon  11:08:42
212.83.171.224                  08. Mar. 2020   Sun  22:17:25
212.83.171.224                  08. Mar. 2020   Sun  22:17:38
222.186.19.221                  06. Mar. 2020   Fri  17:38:07
222.186.19.221                  07. Mar. 2020   Sat  15:27:47
223.71.167.164                  07. Mar. 2020   Sat  20:23:04

VPN-Access - Festgestellt:  Di 10. Mär 14:43:48 CET 2020

[Meillo]

Nachdem lange Zeit Ruhe war, haben die Zugriffsversuche bei mir vor einer Weile wieder angefangen. Immer rund ein Dutzend Zugriffe von einer Adresse, dann die naechste. Aber immer nur 20-30 pro Stunde. Nicht ernsthaft, nicht erfolgsversprechend, ... sondern einfach nur nervig.

[TomL]

So 'ne Handvoll Versuche von einzelnen IPs habe ich ja ständig.... aber fast 6½ Tausend Versuche und dann die nächste IP mit 2600 innerhalb einiger Stunden find ich im Vergleich zu Normaltagen schon heftig.

[TomL]

Jetzt flaut es langsam wieder ab.... nach 2 Tagen Dauerfeuer..... wobei der gestrige Tag im Vergleich zu vorgestern wieder interessant ist. Zuerst wenige IPs mit hoher Zugriffsanzahl, gestern viele IPs mit geringerer Anzahl von Verbindungsversuchen.

Code: Alles auswählen

Journal accumulation temporarily banned IPs with connection attempts yesterday:
     87 SRC=110.249.212.46
     69 SRC=83.97.20.33
     37 SRC=68.183.197.85
     21 SRC=212.83.171.224
     17 SRC=5.101.0.209
     17 SRC=128.14.209.226
     13 SRC=107.174.26.194
     10 SRC=89.248.169.94
      9 SRC=51.91.247.125
      9 SRC=37.49.226.157
      8 SRC=164.52.24.162
      7 SRC=223.71.167.164
      6 SRC=50.63.107.186
      6 SRC=50.220.24.10
      6 SRC=45.125.66.26
      6 SRC=23.94.110.244
      6 SRC=23.28.72.234
      6 SRC=23.241.156.40
      6 SRC=23.230.115.214
      6 SRC=193.57.40.38
      6 SRC=178.9.40.12
      6 SRC=178.93.246.69
      6 SRC=178.93.216.93
      6 SRC=178.90.145.113
      6 SRC=178.8.41.64
      6 SRC=178.8.157.251
      6 SRC=178.7.227.220
      6 SRC=178.7.13.99
      6 SRC=178.6.75.17
      6 SRC=178.6.38.183
      6 SRC=178.6.104.25
      6 SRC=178.5.82.22
      6 SRC=178.5.188.99
      6 SRC=178.5.157.38
      6 SRC=178.4.113.72
      6 SRC=178.3.68.162
      6 SRC=178.24.9.62
      6 SRC=178.2.139.195
      6 SRC=178.191.14.50
      6 SRC=178.14.98.166
      6 SRC=178.14.67.28
      6 SRC=178.12.196.83
      6 SRC=178.119.220.139
      6 SRC=178.11.26.165
      6 SRC=178.11.126.22
      6 SRC=178.10.82.116
      6 SRC=178.0.121.82
      5 SRC=83.97.20.37
      5 SRC=50.90.60.124
      5 SRC=50.83.189.62
      5 SRC=50.81.81.215
      5 SRC=50.79.84.97
      5 SRC=50.31.105.42
      5 SRC=50.255.247.25
      5 SRC=50.253.5.249
      5 SRC=50.242.150.147
      5 SRC=50.237.78.185
      5 SRC=50.233.193.166
      5 SRC=50.227.192.73
      5 SRC=50.224.163.149
      5 SRC=50.222.40.176
      5 SRC=50.18.48.111
      5 SRC=50.1.76.4
      5 SRC=50.16.180.119
      5 SRC=23.94.251.163
      5 SRC=23.89.159.72
      5 SRC=23.81.131.81
      5 SRC=23.80.210.100
      5 SRC=23.254.92.137
      5 SRC=23.25.19.161
      5 SRC=23.245.5.105
      5 SRC=23.238.165.203
      5 SRC=23.236.250.180
      5 SRC=23.231.176.111
      5 SRC=23.230.24.68
      5 SRC=23.228.180.93
      5 SRC=23.21.41.229
      5 SRC=23.210.89.17
      5 SRC=23.19.34.102
      5 SRC=23.106.165.252
      5 SRC=199.36.209.23
      5 SRC=199.255.229.66
      5 SRC=199.226.186.53
      5 SRC=199.21.59.28
      5 SRC=199.193.168.41
      5 SRC=199.116.250.77
      5 SRC=199.116.118.231
      5 SRC=199.101.84.1
      5 SRC=178.91.14.180
      5 SRC=178.9.109.47
      5 SRC=178.80.96.59
      5 SRC=178.80.250.105
      5 SRC=178.62.34.85
      5 SRC=178.62.26.93
      5 SRC=178.62.236.81
      5 SRC=178.62.214.16
      5 SRC=178.57.93.68
      5 SRC=178.57.54.21
      5 SRC=178.57.46.20
      5 SRC=178.47.68.57
      5 SRC=178.46.74.184
      5 SRC=178.32.111.19
      5 SRC=178.253.197.214
      5 SRC=178.250.92.229
      5 SRC=178.222.125.29
      5 SRC=178.199.212.74
      5 SRC=178.194.213.29
      5 SRC=178.184.45.157
      5 SRC=178.173.139.187
      5 SRC=178.139.233.110
      5 SRC=178.134.250.72
      5 SRC=178.128.208.181
      5 SRC=178.127.236.134
      5 SRC=178.125.108.214
      5 SRC=178.124.172.65
      5 SRC=178.121.157.151
      5 SRC=1.6.168.33
      5 SRC=133.57.46.242
      5 SRC=133.27.20.131
      5 SRC=133.232.90.169
      5 SRC=1.33.229.73
      5 SRC=133.18.60.48
      5 SRC=133.162.96.101
      5 SRC=1.255.226.49
      5 SRC=1.253.43.229
      5 SRC=1.252.218.147
      5 SRC=1.251.71.197
      5 SRC=1.250.113.85
      5 SRC=1.250.104.149
      5 SRC=1.248.56.13
      5 SRC=1.241.43.247
      5 SRC=1.240.79.51
      5 SRC=1.240.192.84
      5 SRC=1.239.246.66
      5 SRC=1.238.196.135
      5 SRC=1.235.8.65
      5 SRC=1.234.142.43
      5 SRC=1.234.107.26
      5 SRC=1.233.112.243
      5 SRC=1.229.177.159
      5 SRC=1.227.15.112
      5 SRC=1.226.179.126
      5 SRC=1.217.54.193
      5 SRC=1.214.191.5
      5 SRC=1.208.4.133
      5 SRC=1.191.22.250
      5 SRC=1.190.76.230
      5 SRC=1.181.141.45
      5 SRC=1.174.161.203
      5 SRC=1.171.87.103
      5 SRC=1.171.47.184
      5 SRC=1.171.170.166
      5 SRC=1.169.28.159
      5 SRC=1.164.24.130
      5 SRC=1.163.92.19
      5 SRC=1.163.18.6
      5 SRC=1.160.114.42
      5 SRC=1.102.13.38
      5 SRC=1.102.129.89
      4 SRC=178.7.142.10
      4 SRC=178.160.251.66
      4 SRC=1.69.254.70
      4 SRC=1.250.69.74
      4 SRC=1.242.116.226
      4 SRC=1.233.50.53
      4 SRC=1.228.105.118
      4 SRC=1.225.174.56
      4 SRC=1.190.27.100
      4 SRC=1.183.163.208
      3 SRC=222.186.19.221
      3 SRC=1.71.211.33
      3 SRC=1.60.195.230
      3 SRC=1.11.117.178
      2 SRC=23.234.48.22
      2 SRC=178.93.7.203
      1 SRC=23.224.218.7
      1 SRC=217.195.206.19
      1 SRC=199.33.211.100
      1 SRC=199.136.27.151
      1 SRC=178.84.123.205
      1 SRC=178.109.37.79
      1 SRC=1.183.120.222

Journal accumulation temporarily banned IPs with connection attempts at last few days:
   6411 SRC=61.196.173.124
   2611 SRC=211.249.226.104
    239 SRC=164.52.24.162
    206 SRC=66.116.104.214
    152 SRC=110.249.212.46
    112 SRC=61.196.174.5
     69 SRC=83.97.20.33
     58 SRC=83.97.20.34
     51 SRC=61.196.173.122
     38 SRC=5.101.0.209
     37 SRC=68.183.197.85
     29 SRC=107.6.171.130
     25 SRC=128.14.133.50
     21 SRC=212.83.171.224
     17 SRC=128.14.209.226
     15 SRC=178.128.104.195
     13 SRC=107.174.26.194
     10 SRC=89.248.169.94
     10 SRC=172.105.11.111
     10 SRC=134.209.30.52
      9 SRC=51.91.247.125
      9 SRC=45.143.220.98
      9 SRC=37.49.226.157
      8 SRC=195.54.166.249
      7 SRC=223.71.167.164
      7 SRC=192.155.95.88
      6 SRC=50.63.107.186
      6 SRC=50.220.24.10
      6 SRC=45.125.66.26
      6 SRC=23.94.110.244
      6 SRC=23.28.72.234
      6 SRC=23.241.156.40
      6 SRC=23.230.198.64
      6 SRC=23.230.115.214
      6 SRC=193.57.40.38
      6 SRC=178.9.40.12
      6 SRC=178.93.246.69
      6 SRC=178.93.216.93
      6 SRC=178.92.72.28
      6 SRC=178.90.145.113
      6 SRC=178.8.41.64
      6 SRC=178.8.157.251
      6 SRC=178.7.75.159
      6 SRC=178.7.227.220
      6 SRC=178.7.13.99
      6 SRC=178.6.75.17
      6 SRC=178.6.38.183
      6 SRC=178.6.104.25
      6 SRC=178.5.82.22
      6 SRC=178.5.46.33
      6 SRC=178.5.188.99
      6 SRC=178.5.157.38
      6 SRC=178.45.26.64
      6 SRC=178.4.113.72
      6 SRC=178.3.68.162
      6 SRC=178.24.9.62
      6 SRC=178.2.216.11
      6 SRC=178.2.139.195
      6 SRC=178.1.96.10
      6 SRC=178.191.14.50
      6 SRC=178.14.98.166
      6 SRC=178.14.67.28
      6 SRC=178.142.17.231
      6 SRC=178.12.196.83
      6 SRC=178.119.220.139
      6 SRC=178.11.26.165
      6 SRC=178.11.126.22
      6 SRC=178.10.82.116
      6 SRC=178.0.58.9
      6 SRC=178.0.121.82
      6 SRC=133.130.40.231
      5 SRC=83.97.20.37
      5 SRC=50.90.60.124
      5 SRC=50.83.189.62
      5 SRC=50.81.81.215
      5 SRC=50.79.84.97
      5 SRC=50.31.105.42
      5 SRC=50.255.247.25
      5 SRC=50.253.5.249
      5 SRC=50.242.150.147
      5 SRC=50.237.78.185
      5 SRC=50.233.2.219
      5 SRC=50.233.193.166
      5 SRC=50.227.192.73
      5 SRC=50.224.163.149
      5 SRC=50.222.40.176
      5 SRC=50.18.48.111
      5 SRC=50.1.76.4
      5 SRC=50.16.180.119
      5 SRC=23.94.251.163
      5 SRC=23.89.159.72
      5 SRC=23.81.131.81
      5 SRC=23.80.210.100
      5 SRC=23.35.110.119
      5 SRC=23.254.92.137
      5 SRC=23.25.19.161
      5 SRC=23.245.5.105
      5 SRC=23.238.220.48
      5 SRC=23.238.165.203
      5 SRC=23.236.250.180
      5 SRC=23.231.176.111
      5 SRC=23.230.24.68
      5 SRC=23.228.192.133
      5 SRC=23.228.180.93
      5 SRC=23.21.41.229
      5 SRC=23.210.89.17
      5 SRC=23.19.37.151
      5 SRC=23.19.34.102
      5 SRC=23.106.165.252
      5 SRC=216.243.31.2
      5 SRC=199.36.209.23
      5 SRC=199.255.229.66
      5 SRC=199.226.186.53
      5 SRC=199.21.59.28
      5 SRC=199.21.33.153
      5 SRC=199.193.168.41
      5 SRC=199.116.250.77
      5 SRC=199.116.118.231
      5 SRC=199.104.214.204
      5 SRC=199.101.84.1
      5 SRC=199.101.186.21
      5 SRC=1.81.1.124
      5 SRC=178.91.14.180
      5 SRC=178.9.109.47
      5 SRC=178.81.84.188
      5 SRC=178.80.96.59
      5 SRC=178.80.250.105
      5 SRC=178.76.208.241
      5 SRC=178.62.34.85
      5 SRC=178.62.26.93
      5 SRC=178.62.236.81
      5 SRC=178.62.214.16
      5 SRC=178.57.93.68
      5 SRC=178.57.54.21
      5 SRC=178.57.46.20
      5 SRC=178.47.68.57
      5 SRC=178.46.74.184
      5 SRC=178.32.215.26
      5 SRC=178.32.111.19
      5 SRC=178.30.123.9
      5 SRC=178.254.171.149
      5 SRC=178.253.197.214
      5 SRC=178.250.92.229
      5 SRC=178.222.125.29
      5 SRC=178.210.22.59
      5 SRC=178.199.212.74
      5 SRC=178.194.213.29
      5 SRC=178.184.45.157
      5 SRC=178.17.41.98
      5 SRC=178.173.139.187
      5 SRC=178.16.141.35
      5 SRC=178.15.206.201
      5 SRC=178.148.27.158
      5 SRC=178.140.26.235
      5 SRC=178.139.233.110
      5 SRC=178.134.250.72
      5 SRC=178.128.208.181
      5 SRC=178.127.236.134
      5 SRC=178.125.108.214
      5 SRC=178.124.172.65
      5 SRC=178.121.157.151
      5 SRC=1.6.168.33
      5 SRC=1.48.162.121
      5 SRC=1.4.196.56
      5 SRC=133.57.46.242
      5 SRC=133.27.20.131
      5 SRC=133.232.90.169
      5 SRC=1.33.229.73
      5 SRC=133.18.60.48
      5 SRC=133.162.96.101
      5 SRC=1.255.226.49
      5 SRC=1.253.91.91
      5 SRC=1.253.43.229
      5 SRC=1.252.218.147
      5 SRC=1.251.85.134
      5 SRC=1.251.71.197
      5 SRC=1.250.113.85
      5 SRC=1.250.104.149
      5 SRC=1.248.56.13
      5 SRC=1.244.218.4
      5 SRC=1.241.43.247
      5 SRC=1.240.79.51
      5 SRC=1.240.192.84
      5 SRC=1.239.246.66
      5 SRC=1.238.196.135
      5 SRC=1.236.237.208
      5 SRC=1.235.8.65
      5 SRC=1.234.142.43
      5 SRC=1.234.107.26
      5 SRC=1.233.21.226
      5 SRC=1.233.112.243
      5 SRC=1.231.239.246
      5 SRC=1.229.177.159
      5 SRC=1.227.15.112
      5 SRC=1.226.179.126
      5 SRC=1.217.54.193
      5 SRC=1.214.191.5
      5 SRC=1.208.4.133
      5 SRC=1.208.3.14
      5 SRC=1.20.239.131
      5 SRC=1.194.9.99
      5 SRC=1.191.22.250
      5 SRC=1.190.76.230
      5 SRC=1.181.141.45
      5 SRC=1.174.161.203
      5 SRC=1.171.87.103
      5 SRC=1.171.47.184
      5 SRC=1.171.31.39
      5 SRC=1.171.170.166
      5 SRC=1.169.28.159
      5 SRC=1.164.24.130
      5 SRC=1.163.92.19
      5 SRC=1.163.18.6
      5 SRC=1.162.161.15
      5 SRC=1.160.114.42
      5 SRC=1.1.182.38
      5 SRC=1.1.175.16
      5 SRC=1.102.135.232
      5 SRC=1.102.134.75
      5 SRC=1.102.13.38
      5 SRC=1.102.129.89
      4 SRC=178.7.142.10
      4 SRC=178.160.251.66
      4 SRC=1.69.254.70
      4 SRC=1.250.69.74
      4 SRC=1.242.116.226
      4 SRC=1.233.50.53
      4 SRC=1.228.105.118
      4 SRC=1.225.174.56
      4 SRC=1.190.27.100
      4 SRC=1.183.163.208
      3 SRC=222.186.19.221
      3 SRC=1.71.211.33
      3 SRC=1.60.195.230
      3 SRC=1.11.117.178
      3 SRC=104.27.181.209
      2 SRC=23.234.48.22
      2 SRC=178.93.7.203
      1 SRC=23.224.218.7
      1 SRC=217.195.206.19
      1 SRC=199.33.211.100
      1 SRC=199.136.27.151
      1 SRC=199.136.224.198
      1 SRC=178.84.123.205
      1 SRC=178.109.37.79
      1 SRC=1.183.120.222

[debianuser4782]

Ich habe mich - nach einem Neuaufsetzten des Systems - nun durchringen können, tor, openvpn, gufw und dns-crypt-proxy von meinem qemu-kvm Host fern zu halten, bis ich genauer verstehe, was diese Programme an einer debian-Grundinstallation verändern, bzw bis ich diese Programme besser kontrollieren kann. Ich halte diesen Schritt auch für vernünftig, da gerade diese Programme, die an der Schnittstelle zum Internet werkeln, wohl inbesondere bei "Black Hats" sehr gut durchleuchtet sind und zudem relativ umfangreich und komplex und damit auch anfällig für Sicherheitslücken und Fehlbedienungen.
Um trotzdem in den Genuss der Grundfunktionen dieser Programme zu kommen, habe ich sie weitgehend auf einen OpenWrt-Router ausgelagert und sie mM nach damit in die Hände von Personen gelegt, die sich damit bestens auskennen. Alle oben genannten Programme (bzw deren Äquivalente) kann ich auf diesem Router, wenn ich denn will, bereits per GUI aktivieren und einrichten. Diesen OpenWrt-Router habe ich in Kaskade hinter meinen Router des Internetproviders geschaltet. Dies war für mich durch Einschalten der Plug&Play-Funktion auf meinem Provider-Router ohne großen Aufwand möglich.

[TomL]

... nun durchringen können, tor, openvpn, gufw und dns-crypt-proxy von meinem qemu-kvm Host fern zu halten, bis ich genauer verstehe, was diese Programme an einer debian-Grundinstallation verändern, bzw bis ich diese Programme besser kontrollieren kann. Ich halte diesen Schritt auch für vernünftig, da gerade diese Programme, die an der Schnittstelle zum Internet werkeln, ...

Ein bisschen kann ich was dazu sagen. Keines der Programme bastelt an der Schnittstelle zum Internet rum. Die Schnittstelle für Programme ist das verbundene Netzwerk-Interface und der Kernel, der das Interface handelt. Die Programme verändern insofern die Grundinstallation, dass beim installieren solcher Pakete eigene Binaries und ggf. zusätzlich Libs, Konfigurationsdateien und vielleicht auch Man-Page-Files installiert bzw. angelegt werden. Bis dahin ist das alles unkritisch.

Tor installiert einen eigenen Proxy, über den der Torbrowser anstatt über 80/443 seine Daten ins Tornetzwerk sendet. Das bedeutet aber nicht, dass ein normaler Browser nicht trotzdem ganz normal über 80/443 surfen kann. Tor bedeutet auch nicht, dass sich timesyncd oder dns oder mailserver oder mailclients nicht trotzdem ganz normal mit dem Web-Service verbinden. Das heisst, wer sich tor installiert, aber alles andere lässt wie es ist und wie gewohnt bedient, ist auch der Meinung, wenn er tagsüber im Sonnenschein auf dem Marktplatz steht und dann seine mitgebrachte Kerze ausbläst, es wäre nun so dunkel, dass man ihn nicht mehr sieht.

OpenVPN läuft üblicherweise auf einem Server als Daemon, ein Client kann einen Tunnel adhoc herstellen oder auch persistent als Daemon. OpenVPN erstellt also nur peer-to-peer einen Tunnel zwischen zwei ausdrücklich dafür bestimmten Geräten. Dazu etabliert es eigene virtuelle Interfaces, mit denen Programme dann anstatt des normalen Interfaces kommunizieren. Zwischen den beiden Peers ist alles verschlüsselt, das nennt man landläufig dann Tunnel. Eine OpenVPN-Verbindung ist nie wahllos zwischen Geräten möglich, sondern immer nur zwischen 2 konkret bestimmten Peers, die mit Cert/Key ihre Verbindung und das Gequatsche authentifizieren und sichern. Der normale Internettraffic kann -wenn man will- davon völlig unbehelligt weiterlaufen. Interessant ist hier die Erkenntnis, dass auch zu einem VPN-Provider nur ein verschlüsselter Tunnel zwischen 2 Geräten hergestellt wird. Das heisst, sein ganzes Surfgequatsche ist hinter dem VPN-Provider wieder nur normaler Internet-Traffic, einschließlich der dazugehörenden Browser-Cookies, seines Fingerprints, seiner Surface-Identifikation. Sehr sinnig das alles.. *fg*

gufw ist meiner Einschätzung nach das klassische Beispiel eines Programmes für die User, die nicht wissen, dass sie es eigentlich gar nicht brauchen und es deswegen einsetzen. Das fällt für mich in die Kategorie "So sinnvoll wie ein Kropf"... dann besonders, wenns auch noch hinter dem DSL-Rrouter eingesetzt wird. Wer nicht konkret gegenprüfen kann, was die gufw tut und wie sorgfältig sie es tut, für den schafft sie nur ein Gefühl von Sicherheit. Man fühlt sich besser, wenn man was für die Sicherheit getan hat, auch wenn man gar nicht erklären kann, was. Und wer die Wirksamkeit der gufw konkret prüfen kann, der verzichtet auf dieses Programm und erstellt sich einen maßgeschneiderten Paketfilter mit iptables oder nftables.

Zu dns-crypt-proxy kann ich nicht viel sagen. Wenn es aber das ist, was ich vermute, nämlich DNS über https, dann verzichte ich liebend gerne darauf, weil ich denke, dass das meinem Interesse an Datenschutz konkret zuwider läuft. Ich habe das in meinem Browser jedenfalls konkret und vorsätzlich deaktiviert.

jm2c

[debianuser4782]

... nun durchringen können, tor, openvpn, gufw und dns-crypt-proxy von meinem qemu-kvm Host fern zu halten, bis ich genauer verstehe, was diese Programme an einer debian-Grundinstallation verändern, bzw bis ich diese Programme besser kontrollieren kann. Ich halte diesen Schritt auch für vernünftig, da gerade diese Programme, die an der Schnittstelle zum Internet werkeln, ...

Ein bisschen kann ich was dazu sagen. Keines der Programme bastelt an der Schnittstelle zum Internet rum. Die Schnittstelle für Programme ist das verbundene Netzwerk-Interface und der Kernel, der das Interface handelt. Die Programme verändern insofern die Grundinstallation, dass beim installieren solcher Pakete eigene Binaries und ggf. zusätzlich Libs, Konfigurationsdateien und vielleicht auch Man-Page-Files installiert bzw. angelegt werden. Bis dahin ist das alles unkritisch.

Danke für die Information. Ich kann das technisch aber noch nicht nachvollziehen.

Tor installiert einen eigenen Proxy, über den der Torbrowser anstatt über 80/443 seine Daten ins Tornetzwerk sendet. Das bedeutet aber nicht, dass ein normaler Browser nicht trotzdem ganz normal über 80/443 surfen kann. Tor bedeutet auch nicht, dass sich timesyncd oder dns oder mailserver oder mailclients nicht trotzdem ganz normal mit dem Web-Service verbinden. Das heisst, wer sich tor installiert, aber alles andere lässt wie es ist und wie gewohnt bedient, ist auch der Meinung, wenn er tagsüber im Sonnenschein auf dem Marktplatz steht und dann seine mitgebrachte Kerze ausbläst, es wäre nun so dunkel, dass man ihn nicht mehr sieht.

Will man über das Tor-Netzwerk mit einem einfachen Firefox surfen, kann man als günstige "Tor-VPN" das Paket selektor installieren, was das Paket Tor automatisch als Abhängigkeit mitzieht. Man aktiviert dann dort die Funktion "proxy all traffic", was zumindest für die regulären Browser funktionieren sollte. Man surft dann aber keinesfalls so anonym wie im Sinne des Tor-Browser-Bündels. Diese Methode eignet sich für mich daher nur für einzelne kurze Ausflüge über meine Debian-VM auf einzelne Websites, bei denen der Tor-Browser gesperrt ist oder technische Probleme verursacht als zusätzliche Sicherungsschicht zur VPN-Verbindung (hier wird man leicht nachlässig, da man außerhalb von Tails agiert). Das Tor-Browser-Bündel existiert nicht als Debian-Paket. Deswegen - und da es sich risikobedingt generell für Brower anbietet - virtualisiere ich alles über die Tails-VMs, die sämtlichen Traffic (nicht nur denjenigen des Browsers) torifizieren. Mein OpenWrt-Router leitet den Tor-Traffic der Tails-VMs dann weiter durch eine VPN-Verbindung. Diese kann ich dort mit openvpn oder wireguard aufbauen lassen. Man kann auch eine Tor-Firmware auf dem Router installieren. Die Sicherheitssteigerung von Tor->Tor ist im Gegensatz zu Tor->VPN aber noch nicht so recht erforscht.

OpenVPN läuft üblicherweise auf einem Server als Daemon, ein Client kann einen Tunnel adhoc herstellen oder auch persistent als Daemon. OpenVPN erstellt also nur peer-to-peer einen Tunnel zwischen zwei ausdrücklich dafür bestimmten Geräten. Dazu etabliert es eigene virtuelle Interfaces, mit denen Programme dann anstatt des normalen Interfaces kommunizieren. Zwischen den beiden Peers ist alles verschlüsselt, das nennt man landläufig dann Tunnel. Eine OpenVPN-Verbindung ist nie wahllos zwischen Geräten möglich, sondern immer nur zwischen 2 konkret bestimmten Peers, die mit Cert/Key ihre Verbindung und das Gequatsche authentifizieren und sichern. Der normale Internettraffic kann -wenn man will- davon völlig unbehelligt weiterlaufen. Interessant ist hier die Erkenntnis, dass auch zu einem VPN-Provider nur ein verschlüsselter Tunnel zwischen 2 Geräten hergestellt wird. Das heisst, sein ganzes Surfgequatsche ist hinter dem VPN-Provider wieder nur normaler Internet-Traffic, einschließlich der dazugehörenden Browser-Cookies, seines Fingerprints, seiner Surface-Identifikation. Sehr sinnig das alles.. *fg*

Das ist für mich weniger relevant, da meine Tails-VMs keinen normalen Internettraffic erzeugen.

gufw ist meiner Einschätzung nach das klassische Beispiel eines Programmes für die User, die nicht wissen, dass sie es eigentlich gar nicht brauchen und es deswegen einsetzen. Das fällt für mich in die Kategorie "So sinnvoll wie ein Kropf"... dann besonders, wenns auch noch hinter dem DSL-Rrouter eingesetzt wird. Wer nicht konkret gegenprüfen kann, was die gufw tut und wie sorgfältig sie es tut, für den schafft sie nur ein Gefühl von Sicherheit. Man fühlt sich besser, wenn man was für die Sicherheit getan hat, auch wenn man gar nicht erklären kann, was. Und wer die Wirksamkeit der gufw konkret prüfen kann, der verzichtet auf dieses Programm und erstellt sich einen maßgeschneiderten Paketfilter mit iptables oder nftables.

Das sehe ich jetzt auch so. Der OpenWrt-Router bei mir benutzt firewall3 (f3) mit LuCI als Weboberfläche zum konfigurieren der Firewalleinstellungen. Da der Erfolg des Vertreibers des Routers davon abhängt, dass sich die Einstellungen der Router-Firewall am aktuellen Stand der Technik orientieren, sind die Anforderungen an die Entwickler der Firmware zu diesem Router andere als diejenigen eines Laien, welcher gufw als Paket herunterlädt und auf seinem Debian-System blind installiert. Versagen geht hier möglicherweise gleich an die Unternehmenssubstanz. Ich gehe daher davon aus, dass die Firewallvoreinstellungen des OpenWrt-Routers einigermaßen sicher sind. Zumindest sind sie um den Faktor 100 transaprenter als bei dem Router meines Internetproviders, bzw als bei der Fritzbox. Bei der OpenWrt-Firmware scheint es sich um ein in Registern aufgeschachteltes vollständiges Linux-System zu handeln. Entsprechend flexibel und mannigfaltig sind daher die Einstellungsmöglichkeiten. Man hat Einsicht in alle installierten Pakete und kann alles was man nicht benötigt (zB WLAN) zur Härtung deinstallieren (davon lass ich aber erstmal die Finger). Was mir sehr gefällt, ist die im Router integrierte Kill-Switch-Funktion. Ich gehe davon aus, das diese auch anspringt, wenn die VPN-Verbindung (TCP) durch technische Probleme oder Angriffe zerstört wird.

Zu dns-crypt-proxy kann ich nicht viel sagen. Wenn es aber das ist, was ich vermute, nämlich DNS über https, dann verzichte ich liebend gerne darauf, weil ich denke, dass das meinem Interesse an Datenschutz konkret zuwider läuft. Ich habe das in meinem Browser jedenfalls konkret und vorsätzlich deaktiviert.

Die dns-crypt-proxy-Funktion ist per default im OpenWrt-Router deaktiviert. Dafür ist dort per default eine "DNS Rebinding Attack Protection" aktiviert. Weitere Funktionen im Reiter "Benutzerdefinierter DNS-Server " sind "Überschreibe DNS-Einstellungen für alle Clients" "DNS über TLS von Cloudflare" und "Manuelle DNS-Server-Einstellungen"

jm2c[/quote]

[TomL]

Mein OpenWrt-Router leitet den Tor-Traffic der Tails-VMs dann weiter durch eine VPN-Verbindung. Diese kann ich dort mit Debianopenvpn oder Debianwireguard aufbauen lassen. Man kann auch eine Tor-Firmware auf dem Router installieren.

Ich nutze weder tor, noch tails, noch einen VPN-Provider.... und ich bin trotzdem davon überzeugt, kein offenes Buch zu sein. Vor wem muss Du Dich mit solchen dicken Kanonen schützen? Wer verfolgt Dich?

[debianuser4782]

Mein OpenWrt-Router leitet den Tor-Traffic der Tails-VMs dann weiter durch eine VPN-Verbindung. Diese kann ich dort mit Debianopenvpn oder Debianwireguard aufbauen lassen. Man kann auch eine Tor-Firmware auf dem Router installieren.

Ich nutze weder tor, noch tails, noch einen VPN-Provider.... und ich bin trotzdem davon überzeugt, kein offenes Buch zu sein. Vor wem muss Du Dich mit solchen dicken Kanonen schützen? Wer verfolgt Dich?

Mich verfolgt die Freude mich mit diesen Techniken befassen zu dürfen.

[schorsch_76]

Ich finde es zur Zeit schon sehr viele ssh Zugriffe gibt. Es ist zwar kein Problem, da der Zugriff nur mit Key erlaubt ist aber trotzdem finde ich diese Grafik schon Wahnsinn.



EDIT:


Hello China