IP Adressen aus China sperren

2
341

Wer einen Server oder PC im öffentlich Netz betreibt, wie z.B. einen Webserver, wird sehr viele Angriffe feststellen. 90% aller Angriffe kommen aus China. Die restlichen 10% verteilen sich auf den restlichen Globus, wobei hier wiederum die meisten aus Russland und immer mehr aus Brasilen kommen.

Wer auf Zugriffe aus China nicht angewiesen ist, sollte die großen Provider aus China komplett sperren. Wer eine Webseite betreibt, wird Zugriffe aus China nicht brauchen und vermutlich auch nicht haben. Die vereinzelten Zugriffe aus China sind meistens auch keine echten Benutzeraufrufe, sondern nur Crawler, welche die Seite nur auslesen und kopieren. Auf Chinesischen Suchmaschinen werden Europäische Seiten so gut wie nicht angezeigt.

99.9% der IP Adressen aus China versuchen im System einzubrechen. Um dies nun zu verhindern kann man diese entweder auf der Firewall sperren oder aber gleich das Routing des Netzwerkes so abändern, dass die Angreifer den Server nicht mehr erreichen.

Sperrt man die IP Adressen auf der Firewall, so kann diese bei einem Angriff sehr schnell überlastet werden.

Ändern man das Routing, so reagiert der Server nicht mehr auf diese Angreifer-Netze und man bemerkt keine Last am Server.

Wie sperrt man nun die IP Adressen durch das Routing.

Man routet die ankommenden Anfragen aus China als Antwortadresse auf die locale Hostadresse 127.0.0.1 um.

Dazu trägt man in die Routingtabelle am Server als Routing Gateway 127.0.0.1 ein. Dies funktioniert auf allen Servern. Windows und Linux.

In diesem Beispiel zeigen wir, wie man bei einem Linux System (Ubuntu) vorgeht.

Mit diesem Befehl werde alle IP Adressen aus den 222.184.0.0/13 Netz gesperrt (über 500.000 IPs aus China)

 route add -net 222.184.0.0/13 gw 127.0.0.1 lo

Dabei ist zu beachten, dass dieses Routing (statisches Routing) nur bis zum nächsten Neustart des Servers gespeichert ist.

Also muss man diese Befehle auch in einem Script eintragen, welche beim Start des Servers ausgeführt werden. Dazu kann man z.B. einen Chron Job anlegen, welcher beim Systemstart ausgeführt wird, oder man dann die Adressen in die /etc/rc.local eintragen. Die /etc/rc.local ist seit Ubuntu 16 nicht mehr automatisch aktiviert und muss nachinstalliert werden.


Anleitung zur Installation von /etc/rc.local unter Ubuntu 18.

Hier eine aktuelle Liste, welche einen Großteil der Angreifer aussperrt. Diese versuchen wir so weit wie möglich aktuell zu halten.

route add -net 103.41.124.0/24 gw 127.0.0.1 lo
route add -net 115.231.216.0/21 gw 127.0.0.1 lo
route add -net 115.239.228.0/24 gw 127.0.0.1 lo
route add -net 122.225.109.192/27 gw 127.0.0.1 lo
route add -net 61.174.51.192/26 gw 127.0.0.1 lo
route add -net 61.174.48.0/21 gw 127.0.0.1 lo
route add -net 202.197.228.0/24 gw 127.0.0.1 lo
route add -net 122.226.181.0/24 gw 127.0.0.1 lo
route add -net 61.184.247.0/24 gw 127.0.0.1 lo
route add -net 115.238.245.0/24 gw 127.0.0.1 lo
route add -net 175.6.64.0/24 gw 127.0.0.1 lo
route add -net 125.65.42.0/24 gw 127.0.0.1 lo
route add -net 118.123.15.0/24 gw 127.0.0.1 lo
route add -net 112.85.42.0/24 gw 127.0.0.1 lo
route add -net 126.184.0.0/13 gw 127.0.0.1 lo
route add -net 222.184.0.0/13 gw 127.0.0.1 lo
route add -net 92.63.194.0/24 gw 127.0.0.1 lo 

#Update 22.March 2020
route add -net 106.12.0.0/15 gw 127.0.0.1 lo
route add -net 106.75.0.0/16 gw 127.0.0.1 lo
route add -net 111.229.0.0/16 gw 127.0.0.1 lo
route add -net 139.199.0.0/16 gw 127.0.0.1 lo
route add -net 140.143.0.0/16 gw 127.0.0.1 lo
route add -net 167.71.0.0/16 gw 127.0.0.1 lo
route add -net 112.196.32.0/19 gw 127.0.0.1 lo

#Update 26.March 2020
route add -net 117.0.0.0/13 gw 127.0.0.1 lo
route add -net 140.238.0.0/16 gw 127.0.0.1 lo
route add -net 13.104.0.0/14 gw 127.0.0.1 lo
route add -net 13.96.0.0/13 gw 127.0.0.1 lo
route add -net 13.64.0.0/11 gw 127.0.0.1 lo
route add -net 14.16.0.0/12 gw 127.0.0.1 lo
route add -net 27.34.47.0/24 gw 127.0.0.1 lo
route add -net 27.34.251.0/24 gw 127.0.0.1 lo
route add -net 37.187.54.0/24 gw 127.0.0.1 lo
route add -net 41.63.1.0/24 gw 127.0.0.1 lo
route add -net 49.232.0.0/14 gw 127.0.0.1 lo

#Update 10.April 2020
route add -net 106.52.0.0/14 gw 127.0.0.1 lo
route add -net 104.248.0.0/16 gw 127.0.0.1 lo
route add -net 117.50.0.0/16 gw 127.0.0.1 lo
route add -net 118.24.0.0/15 gw 127.0.0.1 lo
route add -net 118.89.0.0/16 gw 127.0.0.1 lo
route add -net 119.28.0.0/15 gw 127.0.0.1 lo
route add -net 122.51.0.0/16 gw 127.0.0.1 lo
route add -net 125.124.0.0/16 gw 127.0.0.1 lo
route add -net 128.199.0.0/16 gw 127.0.0.1 lo
route add -net 129.28.0.0/16 gw 127.0.0.1 lo
route add -net 129.204.0.0/16 gw 127.0.0.1 lo
route add -net 129.211.0.0/16 gw 127.0.0.1 lo
route add -net 134.122.0.0/17 gw 127.0.0.1 lo
route add -net 134.175.0.0/16 gw 127.0.0.1 lo
route add -net 139.59.0.0/16 gw 127.0.0.1 lo
route add -net 141.98.81.0/24 gw 127.0.0.1 lo
route add -net 142.93.0.0/16 gw 127.0.0.1 lo
route add -net 148.70.0.0/16 gw 127.0.0.1 lo
route add -net 152.136.0.0/16 gw 127.0.0.1 lo
route add -net 157.230.0.0/16 gw 127.0.0.1 lo
route add -net 165.22.0.0/16 gw 127.0.0.1 lo
route add -net 165.227.0.0/16 gw 127.0.0.1 lo
route add -net 180.0.0.0/8 gw 127.0.0.1 lo
route add -net 182.0.0.0/8 gw 127.0.0.1 lo
route add -net 183.0.0.0/8 gw 127.0.0.1 lo
route add -net 185.0.0.0/8 gw 127.0.0.1 lo
route add -net 187.0.0.0/8 gw 127.0.0.1 lo
route add -net 188.0.0.0/8 gw 127.0.0.1 lo

2 KOMMENTARE

  1. Hi
    Danke dafür, sehr gut erklärt.
    Cool wäre eine kleine IP-Range von böswilligen Russischen IP`s

    Gruss

HINTERLASSEN SIE EINE ANTWORT

Please enter your comment!
Please enter your name here