Bloquear IP definitivo

hkanata
(usa Debian)

Enviado em 17/04/2018 - 22:31h

Ola pessoal.
Estou com um problema em meu servidor, pois existe um IP, da india ou korea, que está fazendo requisição sem parar em meu servidor.
Ja tentei bloquea-lo com as regras de firewall, mas sem sucesso.
Veja abaixo o resultado do comando TCPDUMP

22:26:28.024267 IP 103.250.4.101.706 > 191.101.9.218.111: UDP, length 40
22:26:28.024273 IP 103.250.4.101.25242 > 191.101.9.182.111: UDP, length 40
22:26:28.043520 IP 103.250.4.101.25242 > 191.101.9.182.111: UDP, length 40
22:26:28.043531 IP 103.250.4.101.706 > 191.101.9.218.111: UDP, length 40
22:26:28.102721 IP 103.250.4.101.706 > 191.101.9.218.111: UDP, length 40
22:26:28.102728 IP 103.250.4.101.25242 > 191.101.9.182.111: UDP, length 40
22:26:28.121495 IP 103.250.4.101.25242 > 191.101.9.182.111: UDP, length 40
22:26:28.181139 IP 103.250.4.101.706 > 191.101.9.218.111: UDP, length 40

Esses registros não param de chegar, fica o dia inteiro.
Se eu desbloquear o IP das regras do IPTABLES, a ultima coluna referente ao LENGTH dobra de valor, ou seja, mesmo bloqueando o IP do "cara", ele ainda está conseguindo requisitar alguns bytes do meu servidor.
Gostaria de saber o que faço para bloquear ele definitivamente?

Obrigado

Carlos_Cunha
(usa Linux Mint)

Enviado em 17/04/2018 - 22:44h

Realize regras com DROP(para esse seu caso), e não com REJECT.
Drop = Não fala nada
Reject = Retorna aviso



#-------------------------------------------------------------------------------------#
Administrador de Redes Mistas Linux/Windows
LPI 101-102
LPI 201
Para consultas particulares acesse:
www.cunhatec.com.br

"Falar é fácil, me mostre o código." - Linus Torvalds

hkanata
(usa Debian)

Enviado em 18/04/2018 - 08:26h

Carlos, obrigado pela resposta.
Minha regra de firewall já estava com o DROP, mesmo assim continuo recebendo as informações.

Existe outra possibilidade?

pereiracesa1992
(usa Debian)

Enviado em 18/04/2018 - 09:52h

Bom dia meu amigo!

Tentar fazer drop do barramento do IP todo dele..

191.101.9.218/21

Abraço..
Qualquer novidade posta ai..

heckjp
(usa elementary OS)

Enviado em 18/04/2018 - 11:48h

Cara.. tenta usar o Fail2Ban... ele é justamente para esse propósito, bloquear tentativas de acesso massivas de um determinado IP.
Aqui no VoL tem material sobre ele. Esse é um deles https://www.vivaolinux.com.br/artigo/Instalacao-do-Fail2Ban-no-CentOS-7

Buckminster
(usa Debian)

Enviado em 18/04/2018 - 16:42h

Posta aqui a regra que tu está usando para bloquear.

hkanata
(usa Debian)

Enviado em 18/04/2018 - 18:01h

Obrigado a todos pela resposta.

Estou testando o Fail2Ban mas não resolveu.

A regra que inseri foi:
iptables -I INPUT -s 103.250.4.101 -j DROP
iptables -I INPUT -p udp --dport 111 -j DROP

O serviço rpcbind estava utilizando a porta 111, desativei e desisntalei o rpcbind, mas sem sucesso ainda.

Buckminster
(usa Debian)

Enviado em 18/04/2018 - 18:16h

Bloqueie no FORWARD também.

iptables -I FORWARD -s 103.250.4.101 -j DROP
iptables -I FORWARD -p udp --dport 111 -j DROP

Acrescente as regras, reinicie o Iptables e teste.

A chain INPUT é para os pacotes destinados ao servidor.
A chain FORWARD é para os pacotes que passam pelo servidor em direção à rede.
A chain OUTPUT é para os pacotes originados no servidor e que saem para fora.

Maiores informações aqui:
https://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras

pereiracesa1992
(usa Debian)

Enviado em 18/04/2018 - 19:44h

Já e um recomendação antiga ai..Mas vale apena sempre ficar de olho..Faz um drop nas portas baixa.
Como amigo acima falou para dar um drop,na porta 111..
Já vai prevenir uns ataques.

hkanata
(usa Debian)

Enviado em 18/04/2018 - 21:13h

Obrigado mais uma vez pela atenção.
Buckminster, fiz com Forward mas sem sucesso.
Fiz um video no Youtube mostrando o LOG com TCPDUMP.

Espero que fique mais claro o meu problema.

Segue o Link:
https://www.youtube.com/watch?v=wR43dEji6_o

Perceba a ultima coluna (LENGTH 40), quando eu bloqueio qualquer outro acesso, essa coluna(LENGTH) vem 0 (zero), ou seja, ainda estou recebendo/enviando bytes para o IP intruso.

Obrigado

Buckminster
(usa Debian)

Enviado em 19/04/2018 - 01:12h

Teu vídeo está meio embaçado, não dá para ver claramente.
Mas para resolver este problema, você precisa entender alguns fatos:

O módulo IPTables Length mede o comprimento total do pacote.
O cabeçalho UDP tem sempre 8 bytes de comprimento.
O cabeçalho IP normalmente é de 20 bytes, totalizando 28 bytes.

Com esse conhecimento, aqui está um exemplo que irá bloquear pacotes UDP com uma carga de dados inferior ao do cabeçalho, onde não há opções de IP:

iptables -A PREROUTING -p udp -m length --length 28:32 -j DROP

Mas isso bloquearia todos os pacotes UDP.

Você também pode, claro, usar a extensão 0:32, uma vez que esses também seriam pacotes inválidos; você nunca pode ter um pacote UDP com um tamanho total menor que 28 bytes. De fato, mesmo em 28 bytes, é altamente anômalo, já que estaria enviando um datagrama ... sem dados.

Isso parece um ataque DDoS (Distributed Denial of Service) e, se estiver saturando a conexão de rede de entrada com a sua borda (um roteador ou um servidor), nenhum firewall dentro de sua rede corrigirá isso.

O método recomendado de mitigação de DDoS é pedir ao seu ISP para filtrar esse tráfego antes que ele chegue à sua rede.

Acrescente, também, a seguinte linha no início do teu script:
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

Isso irá amenizar, caso for um ataque DDoS.

Lembre que a ordem de colocação das regras é importante, talvez fosse interessante tu postar todo o conteúdo do teu script.

Não sei se me fiz claro na explicação.