Fórum Root.cz

Ostatní => /dev/null => Téma založeno: lucas_maer 25. 02. 2022, 02:07:06

Název: k zamyšlení - příchozí traffic z vybraných zemí
Přispěvatel: lucas_maer 25. 02. 2022, 02:07:06

Po čtvrtečních událostech mě napadlo router nakrmit GeoIP pro RUS, CHINA, BELARUS, abych měl představu, kolik toho teče na firemní servery a kolik domů. Docela jsem se nestačil divit - co sekunda, to min dva pokusy o spojení z nové IP.

Když si vezmu, že uživatelé těch mnou monitorovaných IP nemají žádné zájmy v daných destinacích, nejedná se o žádný legitimní provoz... Zatím sbírám data a zítra si udělám statistiku, na jaké služby to boti nejvíc zkoušejí, zatím jsem nejčastěji zahlídl ssh.

Také bych rád věděl, kolik takových zahraničních paketů teče například přes NIX.CZ. Máte také podobná pravidla na FW?

Název: Re:k zamyšlení - příchozí traffic z vybraných zemí
Přispěvatel: mikesznovu 25. 02. 2022, 11:10:32

Já myslím že je to uplně jedno jakou vlaječku to má, protože mě třeba otravovala nějaká IP patřící holandskému ISP podle RIPE, ale abuse mi odpověděl zjevně americký Serverion ale vlaječku má českou

Název: Re:k zamyšlení - příchozí traffic z vybraných zemí
Přispěvatel: 🇺🇦 GPU 25. 02. 2022, 15:43:58

Podívejte se na data třeba z projeku Turris a jejich honeypotů.

Název: Re:k zamyšlení - příchozí traffic z vybraných zemí
Přispěvatel: aigor.net 25. 02. 2022, 16:44:16

Tak logicky telnet a ssh je první co většina botů zkouší. A GeoIP je celkem k ničemu, stejně nezjistíš odkud je to reálně vedeno.