Wie festellen ob Dynamische IP gegeben ist

24/09/2008 - 00:45 von Ulf [Kado] Kadner | Report spam
Hallo Leute!

Ich würde gerne meine Webserver-Logs analysieren. Das Tool dafür wird
gerad geschrieben. Die IPs von "als auszuschließend" erkannten Eintràgen
werde ndazu vom Tool in iptables eingetragen. Allerdings sehe ich ein
Problem darin bedenkenlos alle IPs einzutragen. Dynamisch vergeben IP-
Adressen sollen eigentlich nur für einen kurzen Zeitraum 1-2 Minuten
gesperrt werden.

Aber irgendwie hab ich keine Idee wie ich das ermitteln kann. Gibts im
Netz irgendwo Listen dazu (IP-Bereiche etc.)? Oder gar nen kleines Script
oder tool das mir diese Infos liefern kann?

Gleich noch 2e Fragen zu iptables.
Besteht irgendwie die Möglichkeit dem IP Tables zu sagen wie lange eine
gesperrte IP ungültig sein soll?

Die Man-Page zu iptables ist ja nicht gerad kurz. Es wàr schön wenn ich
etwas übersehen hab. Wenn das so geht brauch ich die Informationen zu
Verfallsdaten nicht an getrennter Stelle zu halten.

Die Letzte Frage:

Wenn ich mit iptables mehrfach hintereinander ein und dieselbe IP sperre,
werden dann mehrere Eintràge dazu angelegt oder wird der bestehende
erneuert oder wird bei vorhandensein garnix getan?

Ich würde das ausprobieren wenn ich nen Testserver dahàtte aber der ist
gerad bei Plattenformatieren und auf Prod. System muss Probiererei nicht
sein.

MfG, Ulf
 

Lesen sie die antworten

#1 Stefan Dreyer
24/09/2008 - 08:41 | Warnen spam
Ulf [Kado] Kadner wrote:
Hallo Leute!

Ich würde gerne meine Webserver-Logs analysieren. Das Tool dafür wird
gerad geschrieben. Die IPs von "als auszuschließend" erkannten Eintràgen
werde ndazu vom Tool in iptables eingetragen. Allerdings sehe ich ein
Problem darin bedenkenlos alle IPs einzutragen. Dynamisch vergeben IP-
Adressen sollen eigentlich nur für einen kurzen Zeitraum 1-2 Minuten
gesperrt werden.

Aber irgendwie hab ich keine Idee wie ich das ermitteln kann. Gibts im
Netz irgendwo Listen dazu (IP-Bereiche etc.)? Oder gar nen kleines Script
oder tool das mir diese Infos liefern kann?



Da wirst Du leider keine verlàsslichen Informationen erhalten. Einige
Eintràge lassen sich anhand des PTR-Eintrages identifizieren. Bei den
meisten sollte das aber nicht ohne weiteres möglich sein. Außerdem will
man für so einen Fall so viele DNS-Anfragen vermeiden.
Du könnstet aber mal bei den dnsbl-Anbietern schauen. Da könnte es
eventuell etwas geben, was ein wenig verlàsslicher ist. Aber wie schon
gesagt ist es so, dass Du nie zu 100% DynIP erkennen können wirst. Wir
haben z.B. auch noch einen historischen DialinPool, die Adressen davon
wirst Du aber niemals ohne weiteres als solche erkennen können.
Daher solltest Du wahrscheinlich am besten die Sperrzeit auf einen
akzeptablen Wert beschrànken. Zusàtzlich könntest Du noch eine Statistik
führen, ob Adressen bereits mehrfach aufgefallen sind. Diese kannst Du
dann dauerhaft aussperren.
BTW kannst Du auch per ip route add unreachable ... Adressen oder Netze
sperren. Ich weiß aber nicht, ob das performanter/resourcenschonender
ist, als per iptables.



Gleich noch 2e Fragen zu iptables.
Besteht irgendwie die Möglichkeit dem IP Tables zu sagen wie lange eine
gesperrte IP ungültig sein soll?

Die Man-Page zu iptables ist ja nicht gerad kurz. Es wàr schön wenn ich
etwas übersehen hab. Wenn das so geht brauch ich die Informationen zu
Verfallsdaten nicht an getrennter Stelle zu halten.



Obgleich die Manpage zu iptables nicht gerade kurz ist, kann man doch
relativ schnell erkennen, dass es so ein Feature dort nicht gibt.
Ich würde daher dazu raten, die Tabelle in regelmàßigen Abstànden
einfach neu aufzubauen. Also neue Chain erzeugen, einhàngen, alte Chain
aushàngen und löschen. Ansonsten wird es kompliziert.


Die Letzte Frage:

Wenn ich mit iptables mehrfach hintereinander ein und dieselbe IP sperre,
werden dann mehrere Eintràge dazu angelegt oder wird der bestehende
erneuert oder wird bei vorhandensein garnix getan?



Auch wenn es sinnvoll wàre, aber so eine Option gibt es WIMRE nicht.


Ich würde das ausprobieren wenn ich nen Testserver dahàtte aber der ist
gerad bei Plattenformatieren und auf Prod. System muss Probiererei nicht
sein.



Wie? Keinen Linuxarbeitsplatz? Keine VMware|Xen|...?

Ähnliche fragen