Ankündigung

Einklappen
Keine Ankündigung bisher.

Suche eine kostenfreie Lösung, um von einer IP den ASN-Type zu ermitteln ...

Einklappen

Neue Werbung 2019

Einklappen
X
Einklappen
  • Seite von 2
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 2 Weiter
  • #16
    Naja... ob nun 3 eine repräsentative Stichprobe ist, lassen wir mal offen

    ​​​​​​Wenn du an weiteren Ideen nicht interessiert bist, kannst du das aber auch einfach sagen.
    Good programming is 5% knowledge, 5% skill, 20% caffeine, 30% attention to detail and 40% RTFM
    Kapazitäten frei: Einfach per PN ein Angebot einholen.

    Kommentar

    • #17
      Zitat von reddighamburg Beitrag anzeigen
      Naja... ob nun 3 eine repräsentative Stichprobe ist, lassen wir mal offen

      ​​​​​​Wenn du an weiteren Ideen nicht interessiert bist, kannst du das aber auch einfach sagen.
      Nein, Ideen sind immer gut - Danke.

      Aktuell ist die Quote der Servererkennung per Hostname und Netname schon sehr hoch und der Rest wird halt erst einmal nur für einen Tag geblockt, es sei denn es ist ein Wiederholungstäter.

      Kommentar

      • #18
        Zitat von toosten Beitrag anzeigen

        Ich gehe da ein wenig anders heran.
        Für unseren Online-Service wollen wir User und Kunden heranziehen, diverse Bots & Co sind für diesen nicht relevant.

        D.h. wenn diese Bots & Co sich mit fehlerhaften Anfragen outen, dann kann man bei der Erkennung von Hostern, diese problemlos gleich per Subnetz aussperren, denn die kommen meist kurz nach der Sperrung der einzelnen IP von den Nachbar-IPs ( Erfahrungswert ). Man könnte sicherlich ganze Rechenzentren blockieren, aber das ist auch nicht zielführend.

        Wenn Jemand eine IP temporär nutzt um sich unbeliebt zu machen, ist das Ziel diese IP möglichst kurz zu blockieren, aber so lange, daß das Interesse verloren geht.

        Ein Bot & Co wird weder Kunde noch ist es für uns oder einen Kunden relevant.

        Um es auf den Punkt zu bringen, wieso soll ich CPU-Takte verschwenden oder gar für den Traffic für Nicht-User/Kunden etwas verschwenden oder bezahlen?

        Sollen sie doch andere penetrieren.

        ( Es geht um Reduzierung und nicht um 100% )

        Bsp. Wenn jemand nach phpmyadmin sucht und der Hoster AWS ist, was soll mir diese IP langfristig nutzen?

        ich erinnere mich wieder an dich und die in einem, anderen thread erörterte problematik.

        ich glaube dort hatte ich meine frage auch schon mal formuliert,
        wieso spielt bei der unterscheidung goog/bad host die art der ip eine so entscheidende rolle ?
        wegen des dauerhaften sperrens ?

        Kommentar

        • #19
          Zuletzt geändert von toosten; 20.04.2025, 10:53.
          Zitat von tomBuilder Beitrag anzeigen
          ich glaube dort hatte ich meine frage auch schon mal formuliert,
          wieso spielt bei der unterscheidung goog/bad host die art der ip eine so entscheidende rolle ?
          wegen des dauerhaften sperrens ?
          Eine dynamische IP ist halt dynamisch vergeben und meistens sind es normale Internetnutzer.

          Wenn eine IP durch Fehler auffällig wird, kann man die IP eines Hosters länger sperren als die eines ISP.
          Der Inhaber des Servers wechselt seltener als der einer dynamisch vergeben IP.

          Gleichzeitig ist ein Server kein potentieller Kunde und verursacht im besten Fall nur kostenpflichtigen Traffic auf den man gerne verzichten kann.

          Bei Hostern bin ich dazu über gegangen das hier gleich der 24er-Block geblockt wird, oft kommen alle paar Tage die Nachbar-IPs dazu.

          In letzter Zeit kommt bei einem Scanverlauf jede Anfrage von einer anderen Hoster-IP, oft über viele Subnetze und Anbieter hinweg.

          Aktuell kommen täglich ~200 24er hinzu und es werden täglich ~80.000 Anfragen blockiert.

          Kommentar

          • #20
            Bewährt unabhängig von einer solche Unterscheidung haben sich auch incrementelle Ban-Zeiten.
            Mit jeder erneuten Sperrung erhöht sich die Dauer.
            Bei dynamischen IPs ist es eher unwahrscheinlich, dass dieselbe IP nacheinander an "böse" Nutzer vergeben wird.
            Trotzdem bleiben ja auch dynamische IPs je nach ISP eine ganze Weile zugewiesen. Bei Vodafone Kabelanschlüssen teilweise über einen Monat, wenn man "bridge mode" verwendet.
            Deshalb kann hier ein einzelner "böser" Nutzer die Ban-Dauer auch schön ganz schön in die Höhe treiben.

            Bei Servern erreichst du auf diese Weise auch quasi-permanente Sperren im Wiederholungsfall.

            Ich weiß ja nicht, inwieweit die Zugriffe als "bösartig" einzustufen sind, also was diejenigen tun oder nicht tun. Je nachdem gibt es ggf. auch andere vorhandene Blacklists für IPs, die woanders schon negativ aufgefallen sind.

            Die bereits erwähnten DNSBL z.B. von Spamhaus wären so ein Beispiel, und die Implementierung als DNS macht sie sehr schnell.
            Solche Listen gibt es auch für andere Szenarien und nicht nur für E-Mail.

            Auch Dienste wie CrowdSec sind je nach Anwendungsfall interessant
            Good programming is 5% knowledge, 5% skill, 20% caffeine, 30% attention to detail and 40% RTFM
            Kapazitäten frei: Einfach per PN ein Angebot einholen.

            Kommentar

            • #21
              Zuletzt geändert von toosten; 20.04.2025, 20:12.
              Selbstverständlich erhöht sich die Dauer der Sperrung und zwei Stufen Amnestie bei Null-Zugriffen je Zeitabstand gibt es inzwischen auch.

              Bösartig ist relativ, SQL-Injection-Tests sind selten, aktuell sind es meistens Scanlisten, welche schauen was installiert ist, also WP, phpmyadmin & co, div. PHP-FTPs, Emailer, .git, .env usw.
              Aktuell scheint wieder etwas in xmlrpc.php angreifbar zu sein.

              Wir haben einige Domains auf dem selben Server, da wird dann bunt gemischt was woanders erreichbar war.

              Dann gibt es einige die suchen speziell impressum, kontakt oder Datenschutz-Seiten.

              In einigen Systemen scheint es Hintertüren zu geben, weil spezielle POST-Versuche mit markanten Daten statt finden.

              Ach, das ist ne bunte Mischung ...

              Es gibt auch nicht mehr genutzte Domains, die sind dann mehr oder weniger Honeypots.

              Kommentar

              • #22

                Soweit ich deine Threads verstanden habe, geht es vor allem ums traffic sparen - zu möglichst niedrigen kosten -, und deine Seiten besuchen nur kunden.
                die logische folge scheint mir eine block all except policy zu fahren.



                Kommentar

                • #23
                  Zitat von tomBuilder Beitrag anzeigen
                  Soweit ich deine Threads verstanden habe, geht es vor allem ums traffic sparen - zu möglichst niedrigen kosten -, und deine Seiten besuchen nur kunden.
                  die logische folge scheint mir eine block all except policy zu fahren.
                  Das hatte ich auch schon überlegt, aber noch nicht vollzogen.

                  Es ist ja auch nicht uninteressant was alles versucht wird bzw. was scheinbar woanders klappt.

                  Und wer weis ob ich mit einer Komplettsperrung nicht das nächste google aussperre, aktuell wird nur blockiert, wenn eine IP durch Fehler auffällt oder gewisse Browser nutzt, wobei das auch schon eine längere Liste geworden ist.

                  Kommentar

                  • #24
                    im anderen thread stand was von no honeypot, oder ?
                    einen honeypot und eine (web) präsenz würde ich schon trennen.
                    und für was das badhost ding angeht willst du ja möglichst wenig cpu opfern, insopfern ist die attack detection schon etwas gebremst

                    Kommentar

                    • #25
                      google und andere große Suchanbieter haben ihre Bot IPs veröffentlicht, sodass du sie ausdrücklich whitelisten könntest.
                      Good programming is 5% knowledge, 5% skill, 20% caffeine, 30% attention to detail and 40% RTFM
                      Kapazitäten frei: Einfach per PN ein Angebot einholen.

                      Kommentar

                      • #26
                        Zitat von reddighamburg Beitrag anzeigen
                        google und andere große Suchanbieter haben ihre Bot IPs veröffentlicht, sodass du sie ausdrücklich whitelisten könntest.
                        Ja, das wird wohl der nächste Schritt werden, wobei sich der googlebot gut per gethostbyaddr ermitteln läßt.
                        Auch viele Cloud/Hoster lassen sich so gut erkennen, aber ein großer Teil liefert nichts.

                        Und selbst in Kombination mit whois bleiben große Lücken ...

                        Kommentar

                        Vorherige 1 2 Weiter
                        Lädt...
                        X