• 28-01-2025, 13:39:23
    #1
    Merhabalar,
    Linux debian serverda 4 adet web sitem mevcut. Sürekli TCP SYN saldırısı alıyorum, ufw üzerinden deny ettiğim bu saldırıları, ufw log dosyasından okutarak fail2ban ile 6 saat olacak şekilde banlıyorum.

    Fakat bukadar deneme almamın sebebini çözemiyorum,
    2 saatte 56 ip banlandı ve sürekli ama sürekli denemeler geliyor.

    Fikirlerinize ve yorumlarınıza ihtiyacım var.

    2025-01-28T13:30:40.543271+03:00 etc kernel: [855531.515639] [UFW BLOCK] IN=eth0 OUT= MAC=__MAC__ADRES__ SRC=45.45.239.216 DST=__BENIM_IP__ LEN=40 TOS=0x00 PREC=0x00 TTL=236 ID=42072 PROTO=TCP SPT=65189 DPT=30120 WINDOW=53270 RES=0x00 SYN URGP=0 
    
    2025-01-28T13:31:13.948958+03:00 etc kernel: [855564.920152] [UFW BLOCK] IN=eth0 OUT= MAC=__MAC__ADRES__ SRC=183.99.217.71 DST=__BENIM_IP__ LEN=40 TOS=0x00 PREC=0x00 TTL=21 ID=15774 PROTO=TCP SPT=52008 DPT=67 WINDOW=59906 RES=0x00 SYN URGP=0 
    
    2025-01-28T13:32:05.707788+03:00 etc kernel: [855616.680841] [UFW BLOCK] IN=eth0 OUT= MAC=__MAC__ADRES__ SRC=59.102.241.96 DST=__BENIM_IP__ LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=7146 DF PROTO=TCP SPT=34830 DPT=23 WINDOW=14600 RES=0x00 SYN URGP=0 
    
    2025-01-28T13:32:06.694513+03:00 etc kernel: [855617.667674] [UFW BLOCK] IN=eth0 OUT= MAC=__MAC__ADRES__ SRC=59.102.241.96 DST=__BENIM_IP__ LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=7147 DF PROTO=TCP SPT=34830 DPT=23 WINDOW=14600 RES=0x00 SYN URGP=0 
    
    2025-01-28T13:32:28.532638+03:00 etc kernel: [855639.504792] [UFW BLOCK] IN=eth0 OUT= MAC=__MAC__ADRES__ SRC=205.210.31.140 DST=__BENIM_IP__ LEN=44 TOS=0x00 PREC=0x00 TTL=250 ID=54321 PROTO=TCP SPT=49497 DPT=20257 WINDOW=65535 RES=0x00 SYN URGP=0 
    
    2025-01-28T13:32:29.740200+03:00 etc kernel: [855640.713569] [UFW BLOCK] IN=eth0 OUT= MAC=__MAC__ADRES__ SRC=198.235.24.23 DST=__BENIM_IP__ LEN=44 TOS=0x00 PREC=0x00 TTL=250 ID=54321 PROTO=TCP SPT=52119 DPT=1244 WINDOW=65535 RES=0x00 SYN URGP=0 
    
    2025-01-28T13:33:13.839780+03:00 etc kernel: [855684.811681] [UFW BLOCK] IN=eth0 OUT= MAC=__MAC__ADRES__ SRC=89.248.163.181 DST=__BENIM_IP__ LEN=40 TOS=0x00 PREC=0x00 TTL=250 ID=53121 PROTO=TCP SPT=56655 DPT=14389 WINDOW=1024 RES=0x00 SYN URGP=0 
    
    2025-01-28T13:33:24.610702+03:00 etc kernel: [855695.584282] [UFW BLOCK] IN=eth0 OUT= MAC=__MAC__ADRES__ SRC=18.223.104.85 DST=__BENIM_IP__ LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=23105 PROTO=TCP SPT=43760 DPT=5555 WINDOW=65535 RES=0x00 SYN URGP=0 
    
    2025-01-28T13:33:25.540837+03:00 etc kernel: [855696.514565] [UFW BLOCK] IN=eth0 OUT= MAC=__MAC__ADRES__ SRC=205.210.31.59 DST=__BENIM_IP__ LEN=44 TOS=0x00 PREC=0x00 TTL=250 ID=54321 PROTO=TCP SPT=50302 DPT=88 WINDOW=65535 RES=0x00 SYN URGP=0
  • 28-01-2025, 13:49:57
    #2
    İp ler genelde ne Tür ip ler nerenin ip leri hep aynı ip ler mi denemenin sebebini zaten saldırı atan kişi söylemeden bilemezsiniz
    sudo iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above 50 -j DROP
    Aynı anda 50 den fazla ip geldiği zaman otomatik engel çakacaktır bunu denedikten sonra yazabilirmisiniz
  • 28-01-2025, 13:52:28
    #3
    fts adlı üyeden alıntı: mesajı görüntüle
    İp ler genelde ne Tür ip ler nerenin ip leri hep aynı ip ler mi denemenin sebebini zaten saldırı atan kişi söylemeden bilemezsiniz
    IP adreslerini logda mevcut, alakalı alakasız genelde rusya ve civarı hosting firmalarından geliyor.
  • 28-01-2025, 13:55:59
    #4
    sezgin adlı üyeden alıntı: mesajı görüntüle
    IP adreslerini logda mevcut, alakalı alakasız genelde rusya ve civarı hosting firmalarından geliyor.
    Kodu deneyin çok basit bir işlemdir işinize yarayıp yaramadığını söylerseniz ben daha detaylı yardımcı olabilirim
  • 28-01-2025, 23:55:20
    #5
    AS kuralı oluşturun, country belirli ise onlara yönelik de oluşturabilirsiniz veya gelen istekleri port bazlı veya genel olarak limitleyin. Bu konuda bir IT den destek almanız daha doğru olur.