ulf123
Erfahrenes Mitglied
Hallo Leute ich hab da mal ne Frage
wenn ich bei meinem Server in die Bash tcpdump -ni eth0 eingebe hab ich eine risige liste an verbindungen
mir ist aufgefallen das viele IP´s Ständige Syn verbindungen starten...
ich wollte mir jetzt ein Bash script schreiben was diese bei einer maximal Syn anzahl mittels IPtables Dropt.
so jetzt meine Frage wie kann ich das am besten umsetzten... und macht das überhaupt sinn?
Schöne Grüße
Ulf
wenn ich bei meinem Server in die Bash tcpdump -ni eth0 eingebe hab ich eine risige liste an verbindungen
Code:
19:42:34.260423 IP 217.227.31.123.2771 > 62.75.219.89.80: S 2821255258:2821255258(0) win 65535 <mss 1452,nop,wscale 0,nop,nop,sackOK>
19:42:34.260485 IP 88.70.249.139.3045 > 62.75.219.89.80: S 31846749:31846749(0) win 32767 <mss 1440,nop,nop,sackOK>
19:42:34.260492 IP 88.69.1.58.1618 > 62.75.219.89.80: S 3369366247:3369366247(0) win 65535 <mss 1452,nop,nop,sackOK>
19:42:34.260754 IP 62.226.165.130.64646 > 62.75.219.89.22: . ack 278872 win 65535
19:42:34.261088 IP 24.191.219.36.38039 > 62.75.219.89.3985: S 1660554455:1660554455(0) win 65535 <mss 1460,nop,nop,sackOK>
19:42:34.261358 IP 85.176.138.167.1496 > 62.75.219.89.80: S 2695541345:2695541345(0) win 65535 <mss 1440,nop,nop,sackOK>
19:42:34.261457 IP 82.46.14.97.41635 > 62.75.219.89.80: S 1213221323:1213221323(0) win 65535 <mss 1460,nop,nop,sackOK>
19:42:34.261594 IP 217.227.31.123.2772 > 62.75.219.89.80: S 1088265682:1088265682(0) win 65535 <mss 1452,nop,wscale 0,nop,nop,sackOK>
19:42:34.261836 IP 145.53.121.195.36183 > 62.75.219.89.80: S 1064235827:1064235827(0) win 65535 <mss 1460>
19:42:34.261843 IP 92.73.185.230.11572 > 62.75.219.89.712: S 1108743449:1108743449(0) win 65535 <mss 1452,nop,nop,sackOK>
19:42:34.262024 IP 91.96.200.128.62501 > 62.75.219.89.80: S 2981456278:2981456278(0) win 65535 <mss 1400,nop,nop,sackOK>
19:42:34.262090 IP 88.69.1.58.1619 > 62.75.219.89.80: S 1262050545:1262050545(0) win 65535 <mss 1452,nop,nop,sackOK>
19:42:34.262111 IP 97.106.75.142.2952 > 62.75.219.89.80: S 3576776880:3576776880(0) win 65535 <mss 1460,nop,nop,sackOK>
19:42:34.262524 IP 88.70.249.139.3046 > 62.75.219.89.80: S 2974328879:2974328879(0) win 32767 <mss 1440,nop,nop,sackOK>
19:42:34.262572 IP 85.176.138.167.1691 > 62.75.219.89.80: S 532852474:532852474(0) win 65535 <mss 1440,nop,nop,sackOK>
19:42:34.262644 IP 84.144.81.71.3425 > 62.75.219.89.712: S 3891011628:3891011628(0) win 65535 <mss 1440,nop,wscale 0,nop,nop,sackOK>
19:42:34.262933 IP 88.72.65.0.3612 > 62.75.219.89.80: S 3337666201:3337666201(0) win 32767 <mss 1440,nop,nop,sackOK>
19:42:34.263252 IP 217.227.31.123.2773 > 62.75.219.89.80: S 3870994394:3870994394(0) win 65535 <mss 1452,nop,wscale 0,nop,nop,sackOK>
19:42:34.263458 IP 62.226.165.130.64646 > 62.75.219.89.22: . ack 279792 win 64615
19:42:34.263532 IP 89.53.4.16.64044 > 62.75.219.89.712: S 120289930:120289930(0) win 65535 <mss 1408,nop,wscale 3,nop,nop,timestamp 0 0,nop,nop,sackOK>
19:42:34.264175 IP 88.69.1.58.1620 > 62.75.219.89.80: S 3152451298:3152451298(0) win 65535 <mss 1452,nop,nop,sackOK>
19:42:34.264399 IP 88.70.249.139.3047 > 62.75.219.89.80: S 105993370:105993370(0) win 32767 <mss 1440,nop,nop,sackOK>
19:42:34.264434 IP 217.227.31.123.2774 > 62.75.219.89.80: S 92775420:92775420(0) win 65535 <mss 1452,nop,wscale 0,nop,nop,sackOK>
19:42:34.265277 IP 85.176.138.167.1512 > 62.75.219.89.80: S 1768446507:1768446507(0) win 65535 <mss 1440,nop,nop,sackOK>
19:42:34.265310 IP 24.191.219.36.34963 > 62.75.219.89.3985: S 3908971249:3908971249(0) win 65535 <mss 1460,nop,nop,sackOK>
19:42:34.265491 IP 217.227.31.123.2775 > 62.75.219.89.80: S 1440025112:1440025112(0) win 65535 <mss 1452,nop,wscale 0,nop,nop,sackOK>
19:42:34.265632 IP 82.46.14.97.56762 > 62.75.219.89.80: S 3873216456:3873216456(0) win 65535 <mss 1460,nop,nop,sackOK>
19:42:34.265762 IP 92.73.185.230.12021 > 62.75.219.89.712: S 2952275733:2952275733(0) win 65535 <mss 1452,nop,nop,sackOK>
19:42:34.265805 IP 88.69.1.58.1621 > 62.75.219.89.80: S 2268743923:2268743923(0) win 65535 <mss 1452,nop,nop,sackOK>
19:42:34.266271 IP 88.70.249.139.3048 > 62.75.219.89.80: S 1897190684:1897190684(0) win 32767 <mss 1440,nop,nop,sackOK>
19:42:34.266323 IP 85.176.138.167.2205 > 62.75.219.89.80: S 1023260109:1023260109(0) win 65535 <mss 1440,nop,nop,sackOK>
19:42:34.266740 IP 92.73.185.230.12027 > 62.75.219.89.712: S 3827710609:3827710609(0) win 65535 <mss 1452,nop,nop,sackOK>
19:42:34.266898 IP 88.72.65.0.3613 > 62.75.219.89.80: S 192545878:192545878(0) win 32767 <mss 1440,nop,nop,sackOK>
19:42:34.267132 IP 217.227.31.123.2776 > 62.75.219.89.80: S 1693788517:1693788517(0) win 65535 <mss 1452,nop,wscale 0,nop,nop,sackOK>
19:42:34.267158 IP 62.226.165.130.64646 > 62.75.219.89.22: . ack 280712 win 65535
19:42:34.267465 IP 91.96.200.128.62740 > 62.75.219.89.80: S 3234959915:3234959915(0) win 65535 <mss 1400,nop,nop,sackOK>
19:42:34.267785 IP 85.176.138.167.3228 > 62.75.219.89.80: S 3733379552:3733379552(0) win 65535 <mss 1440,nop,nop,sackOK>
19:42:34.267879 IP 88.69.1.58.1622 > 62.75.219.89.80: S 271206812:271206812(0) win 65535 <mss 1452,nop,nop,sackOK>
19:42:34.268099 IP 88.70.249.139.3049 > 62.75.219.89.80: S 1231933571:1231933571(0) win 32767 <mss 1440,nop,nop,sackOK>
19:42:34.268503 IP 217.227.31.123.2777 > 62.75.219.89.80: S 1714334559:1714334559(0) win 65535 <mss 1452,nop,wscale 0,nop,nop,sackOK>
mir ist aufgefallen das viele IP´s Ständige Syn verbindungen starten...
ich wollte mir jetzt ein Bash script schreiben was diese bei einer maximal Syn anzahl mittels IPtables Dropt.
so jetzt meine Frage wie kann ich das am besten umsetzten... und macht das überhaupt sinn?
Schöne Grüße
Ulf