DDOS am Beispiel SYN Flood (todo)

Background: am 5.4.07 19.56 Uhr (ca. 2 Stunden nach Sperrung einer tuerkischen Seite, die 0.5 Mio Besucher am Tag vortaeuschte) war ploetzlich der Ranking-Hits.de Server nicht mehr erreichbar, das komplette Netzwerk war tot, auch ueber SSH. Ein Einloggen ueber die letzte Moeglichkeit, die serielle Konsole, ergab dass die Netzwerkkarte eth0 nicht in Betrieb zu bringen ist (failed to bring up eth0). Es wurde von einem Hardwaredefekt ausgegangen. Strato liess sich in Folge ca. 2 Tage lang nicht erreichen, da Karfreitag dazw. kam. Im Kundenmenue erfuhr man dass der Server mit einer sogen. Halbsperre belegt ist (Zugriff NUR noch ueber serielle Konsole). Nach 2 Tagen erfuhr man nur auf Anfrage (tolle Informationspolitik!?) dass der Server geDDOSed wurde. Nach 3maligem Anruf mit Wunsch auf Entsperrung wurde dem stattgegeben, da jedoch die serielle Konsole inzw. auch tot war hatte ich um RESET/REBOOT gefragt, das wurde jedoch vergessen, konnte ich aber selber herbeifuehren.. kurze Zeit nachdem der Server wieder betriebsbereit war, ging der DDOS Angriff wieder von Neuem los.

WICHTIGSTE ABWEHR:

1. Verwende Syn-Cookies und du hast garkeine Probleme mehr mit SYN-Attacken:
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

2. iptables, dort auffaellige Bereiche sperren, z.B. mit CIDR Notation (ggf. apt-get install netmask .. mit netmask ipstart:ipend ... gutes Umrechnungstool)
iptables -I INPUT -s 88.224.0.0/16 -j DROP # block 88.224.0.0 to 88.255.255.255 TTNet (TTnet Autonomous System)

3. ddos deflate v0.6 installieren von http://www.deflate.medialayer.com/old/ - zaehlt wie oft eine ip gleichzeitig verbindungen aufbaut mittels netstat und wenn uebr schwellwert werden diese geblockt. am besten als cron job jede minute aufrufen.
/usr/local/ddos ... ddos.conf ... wenn kein apf installiert apf=0 ... connection limit z.b. 35 oder 50



unsortiert gesammelte infos: TODO: sort it!


DDOS Deflate v0.6 - v1.0 in Planung:

http://www.deflate.medialayer.com/old/ - Projektseite auf http://blog.medialayer.com/projects-ddos-deflate/

Script installiert sich in /usr/local/ddos/ und zaehlt Anzahl Verbindungen je IP, wenn ueber Schwellwert werden diese per
APF oder iptables fuer bestimmte Zeit (alles in ddos.conf einstellen) gebannt

Config: ddos.conf bei NO_OF_CONNECTIONS=150 ruhig runter gehen auf 35, apf auf 0, falls nicht vorhanden
CRON: cronjob ggf. manuell einrichten */1 * * * * root pfad parameter ...

IPTABLES
http://de.wikibooks.org/wiki/Linux-Kompendium:_Linux-Firewall_mit_IP-Tables
http://de.wikipedia.org/wiki/Netfilter/iptables


#Limit bietet Schutz vor "Syn-Flood-Attacken
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT


Pakete bestimmter hosts/ranges wegschmeissen:

iptables -I INPUT -s 88.224.0.0/16 -j DROP # block 88.224.0.0 to 88.255.255.255 TTNet (TTnet Autonomous System)

iptables -I INPUT -s 85.0.0.0/8 -j DROP
iptables -I INPUT -s 88.0.0.0/8 -j DROP

--michael bonge--
mit hilfe von iptables könnt ihr ein paar sachen festlegen, wie z.b die max connections pro IP beschränken auf z.b. 10
und ihr könnt mit hilfe von iptables packet verwerfen welche sich nicht an den korrekten Aufbau einer TCP Verbindung halten ..

z.b.
# alle TCP-Sessions müssen mit einem SYN beginnen, sonst werden sie verworfen
$iptables -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "Stealth Scan"
$iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

# ungewöhnliche Flags verwerfen
$iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
$iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
$iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
$iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
$iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
$iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

# SYN-Flood-Schutz
$iptables -N syn-flood
$iptables -A INPUT -p tcp --syn -j syn-flood
$iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
$iptables -A syn-flood -j DROP

# Setzt die MMS (Maximum Segment Size) auf weniger 40Bytes für SYN,RST SYN Packete
$iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

# max. 10 neue Verbindungen in 5 Sekunden pro Quelladresse erlauben, nimmt man meist für SSH
$iptables -N tcp_packets
$iptables -A tcp_packets -p TCP -i $wan_iface --dport 22 -m state --state NEW -m recent --set
$iptables -A tcp_packets -p TCP -i $wan_iface --dport 22 -m state --state NEW -m recent --update --seconds 5 --hitcount 10 -j DROP
$iptables -A tcp_packets -p TCP -i $wan_iface --dport 22 -j ACCEPT

oder

# limitiert die Anzahl von HTTP-Verbindungen einer IP-Adresse auf vier Verbindungen
iptables -A INPUT -p tcp --dport 80 -m iplimit --iplimit-above 4 -j REJECT

Es gibt noch weiter Möglichkeiten, musst ihr einfach mal suchen ..
--michael bonge--


SYN Cookies
syn wiki




Größe der Backlog-Queue anpassen, je nach Hardware. Standard 1024 offene SYN_RECV's, z.B. auf 256:
echo 1024 > /proc/sys/net/ipv4/tcp_max_syn_backlog

Syn Packets Straffung:
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time




PDFs zu SYN Flood DDOS bei http://www.computec.ch/download.php?list.7 durcharbeiten


IP-Netze nach Ländern, fertig für die .htaccess habe ich unter http://tools.sistrix.com/co/

http://www.computerwelt.at/detailArticle.asp?n=4&a=84752
http://www.greengatelabs.at/
http://wiki.hping.org/109
http://virus-protect.org/synflood.html
http://www.cback.de (???)


tuerkei komplett sperren
http://www.abakus-internet-marketing.de/foren/viewtopic.php?t=31506&highlight=t%FCrkei+aussperren





Achja, das ist auch eine gute Resource als Basis für IPTables Firewalls:
http://www.rfxnetworks.com/apf.php

http://www.rfxnetworks.com/apf/README


http://www.linuxsecurity.com/content/view/124633/177/
http://www.heise.de/security/artikel/43066/0




in der apache2.conf
<Files index.pl>
SetHandler perl-script
PerlHandler Apache::PRout
Order Deny,Allow
Deny from 85.
Deny from 88.
</Files>

<Location /> <-- nicht garantiert, bessere loesung gesucht, evtl <Files *> Container besser
Order Deny,Allow
Deny from 85.
Deny from 88.
</Location>



KeepAlive OFF setzen:
Bei mir /etc/apache2/apache2.conf folgendes suchen:
# KeepAlive: Whether or not to allow persistent connections (more than
# one request per connection). Set to "Off" to deactivate.
KeepAlive On

Ändern auf

KeepAlive Off

Auf die Weise bricht der Apache offene Anfragen einfach ab.... und die Last fällt wieder


.htaccess im Hauptverzeichnis - gilt fuer alle Unterverzeichnisse
Order Deny,Allow
deny from 192.168



APF

APF ist eine Abstraktionslayer zum einfachen konfigurieren von Netfilter via IPTables.
APF enthält schlicht bekannte Schalterchen und Drehknöpfe um verschiedenen Angriffsmustern den Hahn etwas abzudrehen.
Es hängt halt viel von dem auf RH verwendeten Linux ab, ob synflood protection schon an ist (Debian std.) usw.
APF (http://www.rfxnetworks.com/apf.php) legt halt viele Hebel schon mal richtig



OK, ihr könntet folgende 2 Programme noch zusätzlich installieren:
http://www.ossec.net/
und
http://sourceforge.net/projects/sentrytools/

Beides zusammen schafft auch noch mal einiges ins reine.
Im Anhang auch noch einiges zum Thema.


Und wenn nix mehr hilft dann:
Sperren einer einzelnen "bösen" IP-Adresse bzw. eines Netzblocks
per iptables-Filter lässt sich leicht eine einzelne IP-Adresse blocken: von Nick und Deltaflyer aus dem Forum

iptables -I INPUT -s böse_IP -j DROP

Es kann auch ein ganzer IP-Adressbereich geblockt werden, z.B.

iptables -I INPUT -s 213.133.99.0/24 -j DROP

Das Blockieren macht bei dynamischen Einwahl-IP's des Angreifers/Störers natürlich wenig Sinn.



Schalte doch einfach vor deinen Server (oder machst es auf Softwarebasis) einen Router die diese Pakete ausfiltert.
Ein Text dazu: http://www.heise.de/security/artikel/43066



Ich weiß ja nicht, wo ihr eure Seiten hostet, aber wenn ihr einen Rootserver habt, könnt ihr Einstellungen vornehmen, wenn nicht muß euer Provider irgendwas machen.
Eine kurze Recherche im ergab diese Seite:
http://cr.yp.to/syncookies.html (link von der wikipedia).
Interssant ist eigendlich dies hier:
SYN cookies are now a standard part of Linux and FreeBSD. They are, unfortunately, not enabled by default under Linux. To enable them, add

echo 1 > /proc/sys/net/ipv4/tcp_syncookies

to your boot scripts.
Ich hoffe, ihr könnt die Attacke abwehren.







oldinetuser meint :

Sowas ist entweder Aufgabe des Hosters oder Aufgabe einer eigenständigen Hardware-Firewall vor dem Server.
Dieser Link von @Woopser im anderen Thread scheint auf der Softwareebene anzusetzen - da ist der Server ja schon damit beschäftigt, das ist zu spät.
Ein DDOS ist die Nagelprobe für jeden Hoster bzw. Diensteanbieter im Web. Die einen zahlen Geld für eine ordentlich abgesicherte Architektur - die anderen zahlen Lehrgeld.
Wenn die das auch an einem normalen Werktag ohne große Mühen hinkriegen und es drauf anlegen, dann ist dein Projekt tot - falsche Grundarchitektur in Relation zu den Gefahren von Angriffen.

Theoretisch denkbare Alternative: Einen Server als Firewall direkt davor hängen, so daß alle Anfragen von diesem gefiltert werden. Eine brauchbare Hardware-Firewall wirst Du bei Strato wohl nicht kriegen.
Es gibt ja Firmen, die verwenden bsp. alte Rechner in dieser Form (mit entsprechendem Linux) als Firewall.

Ich würde iptables mal ausprobieren. IMHO könnte es sein, dass das noch rechtzeitig ansetzt. Denn das Problem ist ja eigentlich nur so viele SYN-Pakete zu verwalten. Wenn du jedoch rechtzeitig türkische SYN-Pakete wegwirfst sollte das klappen.



wichtel meint:

Normalerweise sollte der Provider parallel zur Sperrung auch eine Message an den Serverinhaber senden, so kenn ich das zu mindest.
Bei 1&1 ist das zumindest so, das die mir ne Mail senden, das was an meinem Server faul ist und wenn ich mich nicht innerhalb von blabla darum kümmer, wird der Server vom Netz genommen.
Auf diese Art hat man wenigestens noch Zeit selber zu reagieren, das finde ich fair.
Aber einfach einen Rechner vom Netz zu nehmen ist schon frech.




habe hier abgemildert ähnlich Probleme, u.U. hat es etwas mit diesem User Agent Morfeus zu tun.
http://blog.evologiq.com/16-Morfeus-Fucking-Scanner.html
Ansonsten - mod_security in der neuesten Version - aber am Anfang ist der natürlich sehr restriktiv.


Einige Router/Firewalls können als SynProxy arbeiten, ev. kann der Provider das einrichten?
Wenn die Adressen nicht gespoofed werden können man die Source IPs z.B. mittels IPTABLES blocken…





--BEGIN CODE--
$IP = $REMOTE_ADDR;

function whois($IP)
{
$server="whois.ripe.net";
echo "Verbinde zu $server:43...<br>\n";
$fp=@fsockopen($server,43,&$errno,&$errstr,15);
if(!$fp)
{
echo "Verbindung zu $server:43 konnte nicht hergestellt werden.<br>\n";
echo "$errno: $errstr<br>\n";
return false;
}
else
{
$info=array();

echo "Verbunden mit $server:43 hergestellt, sende Anfrage...<br>\n";
echo "(IP/Domain: $IP)<br>\n";
fputs($fp,"$IP\r\n");
while(!feof($fp))
{
$s = fgets($fp,256);
echo "<br>$s<br>";
if ((substr($s,0,5)
"descr") AND (!isset($info['descr']))) $info['descr']=trim(substr($s,6));
if ((substr($s,0,7)
"country") AND (!isset($info['country']))) $info['country']=substr(trim(substr($s,8)),0,2);
}
fclose($fp);
echo "Verbindung beendet.<br>\n";

return $info;
}
}

$info=whois($IP);
$country=$info['country'];
--END CODE--




--georg ang

hallo,

ich benutze seit einigen wochen diesen skript.
/home/block_bad_bots_top.php

in den zeilen 371-376 kannst du die eigene ip's eintragen,
cofig bei zeilen 385-392.

in der httpd.conf, folgendes hinzufügen:



<IfModule mod_php4.c>

php_value auto_prepend_file "/home/block_bad_bots_top.php"

</IfModule>






oder per include in den jeweiligen php-file (index.php)

verzeichnis: /home/block/
mit 777 rechte, nicht per url erreichbar,

ein logfile - log.dat ebenfalls mit 777

der script blockiert server-anfragen von einer ip die zu kurz hintereinender gesendet werden.
es kostet ressourcen, aber es spart wesentlich mehr, also die bilanz ist positiv.
bei mir, linkadd.de, melden sich täglich mehrere türkische seiten,
stichwort "sohbet", die kommen nicht mehr rein, da ich sie von vorn
aus ausschließe.

if eregi("sohbet", $domain){
WILLKOMMEN ;-)

exit;

}
--georg ang--



RH3:h50231:~# netstat
Aktive Internetverbindungen (ohne Server)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 h50231.serverkompet:www 88.227.150.96:3022 SYN_RECV
tcp 0 0 h50231.serverkompet:www 88.245.44.17:4497 SYN_RECV
tcp 0 0 h50231.serverkompet:www 88.239.38.0:1879 SYN_RECV
tcp 0 0 h50231.serverkompet:www dsl88.241-15955.tt:4091 SYN_RECV
tcp 0 0 h50231.serverkompet:www dsl88.242-53600.tt:2166 SYN_RECV
tcp 0 0 h50231.serverkompet:www dsl85-104-42107.tt:1256 SYN_RECV
tcp 0 0 h50231.serverkompet:www 88.231.49.183:3255 SYN_RECV
tcp 0 0 h50231.serverkompet:www 88.245.72.73:1849 SYN_RECV
tcp 0 0 h50231.serverkompet:www 88.239.39.40:3146 SYN_RECV
tcp 0 0 h50231.serverkompet:www dsl85-104-13982.tt:4846 SYN_RECV
tcp 0 0 h50231.serverkompet:www dsl88.241-17693.tt:3538 SYN_RECV
tcp 0 0 h50231.serverkompet:www dsl.dynamic8121425:1611 SYN_RECV
tcp 0 0 h50231.serverkompet:www 85.108.61.205:3554 SYN_RECV
tcp 0 0 h50231.serverkompet:www 88.239.39.40:3337 SYN_RECV
tcp 0 0 h50231.serverkompet:www dsl88.238-31801.tt:3250 SYN_RECV
tcp 0 0 h50231.serverkompet:www dsl88.242-53600.tt:1212 SYN_RECV
tcp 0 0 h50231.serverkompet:www dsl88.241-17693.tt:3538 SYN_RECV
tcp 0 0 h50231.serverkompet:www 88.245.44.17:2233 SYN_RECV
tcp 0 0 h50231.serverkompet:www 88.240.200.145:1119 SYN_RECV
tcp 0 0 h50231.serverkompet:www 88.239.39.40:3337 SYN_RECV
tcp 0 0 h50231.serverkompet:www dsl88.238-31801.tt:3250 SYN_RECV
tcp 0 0 h50231.serverkompet:www dsl85-104-33997.tt:1947 SYN_RECV
tcp 0 0 h50231.serverkompet:www dsl88-247-13910.tt:2530 SYN_RECV
tcp 0 0 h50231.serverkompet:www 88.239.39.40:3337 SYN_RECV
tcp 0 0 h50231.serverkompet:www dsl85-104-33997.tt:1947 SYN_RECV
tcp 0 0 h50231.serverkompet:www dsl88-247-13910.tt:2530 SYN_RECV
tcp 0 0 h50231.serverkompet:www dsl.dynamic8599160:3409 SYN_RECV
tcp 0 0 h50231.serverkompet:www dsl85-104-42107.tt:2190 SYN_RECV
tcp 0 0 h50231.serverkompet:www dsl88.241-3890.ttn:3142 SYN_RECV
tcp 0 0 h50231.serverkompet:www 88.227.157.84:1737 SYN_RECV
...



( tuerkei liste diskussion auf http://www.bot-trap.de/forum/index.php?topic=1674.0 )

Fertige IP Ranges Liste Tuerkei, 1. fertig umgerechnet als CIDR, 2. Rohdaten mit IPStart IPEnd

IP Wandel/konvertier/ in iptables import script..
<?php
$ipranges = "62.29.0.0/17
62.68.192.0/19
62.85.128.0/19
62.108.64.0/19
62.113.0.0/19
62.184.58.0/27
62.184.178.96/29
62.185.166.64/26
62.186.77.0/26
62.201.192.0/18
62.229.128.0/24
62.229.132.0/24
62.244.192.0/18
62.248.0.0/17
67.15.194.32/28
77.67.128.0/17
77.72.184.0/21
80.71.128.0/20
80.87.48.0/20
80.88.138.224/27
80.88.141.160/27
80.93.208.0/20
80.245.88.0/21
80.251.0.0/20
80.251.32.0/20
81.6.64.0/18
81.8.0.0/17
81.21.160.0/20
81.22.104.0/21
81.31.193.128/30
81.31.193.224/29
81.31.194.24/29
81.31.194.156/30
81.31.195.112/29
81.31.195.184/29
81.31.196.24/30
81.31.196.172/30
81.31.196.224/30
81.31.197.16/29
81.31.197.64/30
81.31.197.128/30
81.31.198.64/29
81.31.198.152/29
81.31.199.12/30
81.31.199.64/29
81.31.199.160/29
81.31.200.28/30
81.31.200.76/30
81.31.200.96/29
81.31.201.0/29
81.31.201.116/30
81.31.202.16/29
81.31.202.88/29
81.31.202.184/29
81.91.16.0/20
81.91.126.0/24
81.212.0.0/14
82.145.224.0/19
82.151.128.0/19
82.222.0.0/16
83.66.0.0/16
83.166.48.0/28
84.11.26.0/27
84.11.80.0/25
84.16.253.0/24
84.16.255.64/26
84.17.64.0/19
84.44.0.0/17
84.51.48.0/22
84.51.56.0/21
84.254.136.16/32
85.10.241.216/29
85.29.0.0/18
85.31.125.0/24
85.96.0.0/12
85.119.32.0/21
85.119.64.0/21
85.153.0.0/16
85.158.96.0/21
85.159.64.0/20
85.235.64.0/19
86.108.128.0/17
87.236.96.0/21
87.251.0.0/19
88.151.232.0/21
88.198.121.128/25
88.224.0.0/11
89.19.0.0/19
89.106.0.0/19
89.106.84.0/24
89.149.192.128/25
89.149.198.0/24
89.149.204.0/24
89.149.213.0/24
89.252.128.0/18
90.158.0.0/15
91.93.0.0/16
91.102.160.0/21
91.151.80.0/20
91.188.192.0/18
91.191.160.0/20
139.179.0.0/16
144.122.0.0/16
155.223.0.0/16
160.75.0.0/16
161.9.0.0/16
168.139.0.0/16
192.70.134.0/24
192.129.87.0/24
192.160.21.0/24
193.23.156.0/24
193.25.124.0/23
193.34.132.0/23
193.36.0.0/24
193.36.184.0/24
193.37.135.0/24
193.37.154.0/24
193.41.2.0/23
193.42.216.0/24
193.58.236.0/24
193.108.213.0/24
193.109.134.0/23
193.110.170.0/23
193.110.208.0/21
193.138.30.0/24
193.140.0.0/16
193.164.9.0/24
193.178.218.0/24
193.188.198.0/23
193.189.142.0/24
193.192.96.0/19
193.201.149.192/26
193.201.157.0/25
193.202.18.0/24
193.202.120.0/24
193.218.113.0/24
193.218.200.0/24
193.219.208.16/30
193.220.68.0/24
193.223.76.0/24
193.243.192.0/19
193.254.228.0/23
193.254.252.0/23
193.255.0.0/16
194.0.130.0/24
194.0.142.0/24
194.0.178.0/24
194.0.202.0/24
194.9.174.0/24
194.24.168.0/23
194.24.224.0/23
194.27.0.0/16
194.29.208.0/21
194.36.160.0/24
194.50.84.0/24
194.50.179.0/24
194.54.32.0/19
194.60.73.0/24
194.69.206.0/24
194.117.97.172/30
194.117.110.80/28
194.117.113.72/30
194.117.114.4/30
194.117.118.40/30
194.117.119.4/32
194.117.119.18/32
194.117.119.20/32
194.117.119.22/32
194.117.119.24/32
194.117.119.27/32
194.117.119.34/32
194.117.119.53/32
194.117.119.55/32
194.117.119.58/32
194.117.119.62/31
194.117.119.73/32
194.117.119.76/32
194.117.119.80/32
194.117.119.86/32
194.117.119.94/32
194.117.119.96/32
194.117.119.100/32
194.117.119.108/32
194.117.120.15/32
194.117.120.114/32
194.117.120.233/32
194.117.121.30/32
194.117.121.70/32
194.117.121.96/32
194.117.121.101/32
194.117.121.168/32
194.117.121.192/31
194.117.121.217/32
194.125.232.0/22
194.126.230.0/24
194.133.65.0/24
194.133.172.0/24
194.133.174.0/23
194.133.244.0/24
194.133.248.0/23
194.133.251.0/24
194.133.254.0/28
194.133.255.0/24
194.140.227.0/24
194.169.253.0/24
194.242.32.0/24
195.8.109.0/24
195.14.19.0/24
195.33.192.0/18
195.39.224.0/23
195.46.128.0/19
195.49.216.0/21
195.69.208.0/22
195.75.202.0/28
195.75.202.32/27
195.75.202.240/29
195.75.222.0/29
195.75.222.64/26
195.75.222.192/27
195.75.222.240/28
195.75.236.0/27
195.75.236.48/29
195.75.236.64/28
195.75.236.96/29
195.75.236.128/25
195.75.238.128/28
195.79.199.192/29
195.79.204.192/27
195.85.242.0/24
195.85.255.0/24
195.87.0.0/16
195.95.149.0/24
195.95.160.0/24
195.95.179.0/24
195.112.128.0/19
195.112.160.16/30
195.112.166.12/30
195.112.166.52/30
195.112.166.60/30
195.112.166.72/30
195.112.166.80/30
195.114.108.0/23
195.128.32.0/21
195.128.254.0/23
195.137.222.0/23
195.140.196.0/22
195.142.0.0/16
195.149.85.0/24
195.149.116.0/24
195.155.0.0/16
195.174.0.0/15
195.177.206.0/23
195.177.230.0/23
195.182.25.0/24
195.183.236.192/26
195.200.222.0/24
195.212.230.0/24
195.212.244.8/29
195.213.69.144/28
195.214.128.0/18
195.234.52.0/24
195.234.165.0/24
195.242.122.0/23
195.244.32.0/19
195.245.227.0/24
210.5.232.128/25
212.2.192.0/19
212.12.128.0/19
212.15.0.0/19
212.29.64.0/18
212.31.0.0/19
212.48.224.0/19
212.50.32.0/19
212.57.0.0/19
212.58.0.0/19
212.63.170.168/30
212.63.172.212/30
212.63.172.224/30
212.63.180.0/30
212.63.180.8/30
212.63.180.16/30
212.63.180.28/30
212.63.180.40/29
212.63.180.56/30
212.63.180.68/30
212.63.180.84/30
212.63.180.92/30
212.63.180.112/30
212.63.180.120/29
212.63.180.200/30
212.64.192.0/19
212.65.128.0/19
212.79.112.0/22
212.79.124.0/22
212.98.0.0/19
212.98.192.0/18
212.101.96.0/19
212.108.128.0/19
212.109.96.0/19
212.109.224.0/19
212.115.0.0/19
212.125.0.0/19
212.127.96.0/19
212.133.128.0/17
212.146.128.0/17
212.154.0.0/17
212.156.0.0/16
212.174.0.0/15
212.252.0.0/15
213.14.0.0/16
213.31.223.144/28
213.43.0.0/16
213.62.14.64/26
213.62.40.192/26
213.74.0.0/16
213.138.0.0/19
213.139.192.0/18
213.143.224.0/19
213.144.96.0/19
213.148.64.0/19
213.153.128.0/17
213.155.96.0/19
213.159.32.0/19
213.161.128.0/19
213.181.38.192/26
213.186.128.0/19
213.194.64.0/18
213.202.0.0/19
213.204.64.0/18
213.208.3.192/29
213.209.169.144/29
213.232.0.0/18
213.236.32.0/19
213.238.128.0/18
213.243.0.0/18
213.248.128.0/18
213.254.128.0/19
213.255.247.48/28
217.17.154.0/24
217.17.156.0/23
217.17.159.128/26
217.23.110.96/27
217.31.224.0/19
217.64.144.0/20
217.64.208.0/20
217.68.5.32/29
217.68.208.0/20
217.77.241.113/32
217.77.241.218/32
217.77.242.169/32
217.77.246.192/30
217.115.148.232/29
217.131.0.0/16
217.169.192.0/20
217.172.42.160/27
217.172.48.0/27
217.172.48.192/26
217.173.157.128/28
217.173.157.192/27
217.173.158.64/27
217.174.32.0/20
217.194.135.160/28
217.194.136.0/29
217.194.137.176/28
217.195.192.0/20";
$iprange = explode("\n", $ipranges);
exec("iptables -F");
foreach ($iprange as $ipr) {
$ipr = str_replace("/",":",$ipr);
echo exec("netmask $ipr");
echo "\n";
exec("iptables -I INPUT -s $ipr -j DROP");
echo $ipr."\n";
}
?>

62.29.0.0 62.29.127.255
62.68.192.0 62.68.223.255
62.85.128.0 62.85.159.255
62.108.64.0 62.108.95.255
62.113.0.0 62.113.31.255
62.184.58.0 62.184.58.31
62.184.178.96 62.184.178.103
62.185.166.64 62.185.166.127
62.186.77.0 62.186.77.63
62.201.192.0 62.201.255.255
62.229.128.0 62.229.128.255
62.229.130.0 62.229.132.255
62.244.192.0 62.244.255.255
62.248.0.0 62.248.127.255
67.15.194.32 67.15.194.47
77.67.128.0 77.67.255.255
77.72.184.0 77.72.191.255
80.71.128.0 80.71.143.255
80.87.48.0 80.87.63.255
80.88.138.224 80.88.138.255
80.88.141.160 80.88.141.191
80.93.208.0 80.93.223.255
80.245.81.0 80.245.95.255
80.251.0.0 80.251.15.255
80.251.32.0 80.251.47.255
81.6.64.0 81.6.127.255
81.8.0.0 81.8.127.255
81.21.160.0 81.21.175.255
81.22.97.0 81.22.111.255
81.31.193.128 81.31.193.131
81.31.193.224 81.31.193.231
81.31.194.24 81.31.194.31
81.31.194.156 81.31.194.159
81.31.195.112 81.31.195.119
81.31.195.184 81.31.195.191
81.31.196.24 81.31.196.27
81.31.196.172 81.31.196.175
81.31.196.224 81.31.196.227
81.31.197.16 81.31.197.23
81.31.197.64 81.31.197.67
81.31.197.128 81.31.197.131
81.31.198.64 81.31.198.71
81.31.198.152 81.31.198.159
81.31.199.12 81.31.199.15
81.31.199.64 81.31.199.71
81.31.199.160 81.31.199.167
81.31.200.28 81.31.200.31
81.31.200.76 81.31.200.79
81.31.200.96 81.31.200.103
81.31.201.0 81.31.201.7
81.31.201.116 81.31.201.119
81.31.202.16 81.31.202.23
81.31.202.88 81.31.202.95
81.31.202.184 81.31.202.191
81.91.16.0 81.91.31.255
81.91.112.0 81.91.126.255
81.212.0.0 81.215.255.255
82.145.224.0 82.145.255.255
82.151.128.0 82.151.159.255
82.222.0.0 82.222.255.255
83.66.0.0 83.66.255.255
83.166.48.0 83.166.48.15
84.11.26.0 84.11.26.31
84.11.80.0 84.11.80.127
84.16.253.0 84.16.253.255
84.16.255.64 84.16.255.127
84.17.64.0 84.17.95.255
84.44.0.0 84.44.127.255
84.51.0.0 84.51.51.255
84.51.56.0 84.51.63.255
84.254.136.1 84.254.136.16
85.10.241.216 85.10.241.223
85.29.0.0 85.29.63.255
85.31.125.0 85.31.125.255
85.95.252.0 85.111.255.255
85.119.32.0 85.119.39.255
85.119.64.0 85.119.71.255
85.153.0.0 85.153.255.255
85.158.96.0 85.158.103.255
85.159.64.0 85.159.79.255
85.235.64.0 85.235.95.255
86.108.128.0 86.108.255.255
87.236.96.0 87.236.103.255
87.251.0.0 87.251.31.255
88.151.232.0 88.151.239.255
88.198.121.128 88.198.121.255
88.224.0.0 88.255.255.255
89.19.0.0 89.19.31.255
89.106.0.0 89.106.31.255
89.106.84.0 89.106.84.255
89.149.192.16 89.149.192.255
89.149.198.0 89.149.198.255
89.149.203.0 89.149.204.255
89.149.213.0 89.149.213.255
89.252.128.0 89.252.191.255
90.158.0.0 90.159.255.255
91.93.0.0 91.93.255.255
91.102.160.0 91.102.167.255
91.151.80.0 91.151.95.255
91.188.192.0 91.188.255.255
91.191.160.0 91.191.175.255
139.179.0.0 139.179.255.255
144.122.0.0 144.122.255.255
155.223.0.0 155.223.255.255
160.75.0.0 160.75.255.255
161.9.0.0 161.9.255.255
168.139.0.0 168.139.255.255
192.70.133.0 192.70.134.255
192.129.87.0 192.129.87.255
192.160.21.0 192.160.21.255
193.23.156.0 193.23.156.255
193.25.124.0 193.25.125.255
193.34.132.0 193.34.133.255
193.36.0.0 193.36.0.255
193.36.184.0 193.36.184.255
193.37.135.0 193.37.135.255
193.37.154.0 193.37.154.255
193.41.2.0 193.41.3.255
193.42.216.0 193.42.216.255
193.58.236.0 193.58.236.255
193.108.213.0 193.108.213.255
193.109.134.0 193.109.135.255
193.110.170.0 193.110.171.255
193.110.208.0 193.110.215.255
193.138.30.0 193.138.30.255
193.140.0.0 193.140.255.255
193.164.9.0 193.164.9.255
193.178.218.0 193.178.218.255
193.188.198.0 193.188.199.255
193.189.142.0 193.189.142.255
193.192.96.0 193.192.127.255
193.201.149.192 193.201.149.255
193.201.157.0 193.201.157.127
193.202.18.0 193.202.18.255
193.202.120.0 193.202.120.255
193.218.113.0 193.218.113.255
193.218.200.0 193.218.200.255
193.219.208.0 193.219.208.19
193.220.68.0 193.220.68.255
193.223.76.0 193.223.76.255
193.243.192.0 193.243.223.255
193.254.228.0 193.254.229.255
193.254.252.0 193.254.253.255
193.255.0.0 193.255.255.255
194.0.130.0 194.0.130.255
194.0.142.0 194.0.142.255
194.0.178.0 194.0.178.255
194.0.202.0 194.0.202.255
194.9.174.0 194.9.174.255
194.24.168.0 194.24.169.255
194.24.224.0 194.24.225.255
194.27.0.0 194.27.255.255
194.29.208.0 194.29.215.255
194.36.160.0 194.36.160.255
194.50.84.0 194.50.84.255
194.50.179.0 194.50.179.255
194.54.32.0 194.54.63.255
194.60.73.0 194.60.73.255
194.69.206.0 194.69.206.255
194.117.97.172 194.117.97.175
194.117.110.80 194.117.110.95
194.117.113.72 194.117.113.75
194.117.114.4 194.117.114.7
194.117.118.40 194.117.118.43
194.117.119.4 194.117.119.4
194.117.119.18 194.117.119.18
194.117.119.20 194.117.119.20
194.117.119.22 194.117.119.22
194.117.119.24 194.117.119.24
194.117.119.27 194.117.119.27
194.117.119.34 194.117.119.34
194.117.119.53 194.117.119.53
194.117.119.55 194.117.119.55
194.117.119.58 194.117.119.58
194.117.119.61 194.117.119.63
194.117.119.73 194.117.119.73
194.117.119.76 194.117.119.76
194.117.119.80 194.117.119.80
194.117.119.86 194.117.119.86
194.117.119.93 194.117.119.94
194.117.119.96 194.117.119.96
194.117.119.99 194.117.119.100
194.117.119.108 194.117.119.108
194.117.120.15 194.117.120.15
194.117.120.114 194.117.120.114
194.117.120.233 194.117.120.233
194.117.121.30 194.117.121.30
194.117.121.70 194.117.121.70
194.117.121.96 194.117.121.96
194.117.121.101 194.117.121.101
194.117.121.168 194.117.121.168
194.117.121.192 194.117.121.193
194.117.121.217 194.117.121.217
194.125.232.0 194.125.235.255
194.126.230.0 194.126.230.255
194.133.65.0 194.133.65.255
194.133.160.0 194.133.172.255
194.133.174.0 194.133.175.255
194.133.240.0 194.133.244.255
194.133.248.0 194.133.249.255
194.133.251.0 194.133.251.255
194.133.253.0 194.133.254.15
194.133.255.0 194.133.255.255
194.140.227.0 194.140.227.255
194.169.253.0 194.169.253.255
194.242.32.0 194.242.32.255
195.8.109.0 195.8.109.255
195.14.19.0 195.14.19.255
195.33.192.0 195.33.255.255
195.39.224.0 195.39.225.255
195.46.128.0 195.46.159.255
195.49.216.0 195.49.223.255
195.69.208.0 195.69.211.255
195.75.202.0 195.75.202.15
195.75.202.32 195.75.202.63
195.75.202.160 195.75.202.247
195.75.222.0 195.75.222.7
195.75.222.32 195.75.222.127
195.75.222.160 195.75.222.223
195.75.222.240 195.75.222.255
195.75.236.0 195.75.236.31
195.75.236.40 195.75.236.55
195.75.236.64 195.75.236.79
195.75.236.96 195.75.236.103
195.75.236.120 195.75.236.255
195.75.238.0 195.75.238.143
195.79.199.192 195.79.199.199
195.79.204.192 195.79.204.223
195.85.242.0 195.85.242.255
195.85.255.0 195.85.255.255
195.87.0.0 195.87.255.255
195.95.149.0 195.95.149.255
195.95.160.0 195.95.160.255
195.95.179.0 195.95.179.255
195.112.128.0 195.112.159.255
195.112.160.16 195.112.160.19
195.112.166.12 195.112.166.15
195.112.166.52 195.112.166.55
195.112.166.60 195.112.166.63
195.112.166.68 195.112.166.75
195.112.166.80 195.112.166.83
195.114.108.0 195.114.109.255
195.128.32.0 195.128.39.255
195.128.254.0 195.128.255.255
195.137.222.0 195.137.223.255
195.140.196.0 195.140.199.255
195.142.0.0 195.142.255.255
195.149.85.0 195.149.85.255
195.149.116.0 195.149.116.255
195.155.0.0 195.155.255.255
195.174.0.0 195.175.255.255
195.177.206.0 195.177.207.255
195.177.230.0 195.177.231.255
195.182.25.0 195.182.25.255
195.183.236.192 195.183.236.255
195.200.222.0 195.200.222.255
195.212.230.0 195.212.230.255
195.212.244.8 195.212.244.15
195.213.69.144 195.213.69.159
195.214.128.0 195.214.191.255
195.234.52.0 195.234.52.255
195.234.165.0 195.234.165.255
195.242.122.0 195.242.123.255
195.244.32.0 195.244.63.255
195.245.227.0 195.245.227.255
210.5.232.128 210.5.232.255
212.2.192.0 212.2.223.255
212.12.128.0 212.12.159.255
212.15.0.0 212.15.31.255
212.29.64.0 212.29.127.255
212.31.0.0 212.31.31.255
212.48.224.0 212.48.255.255
212.50.32.0 212.50.63.255
212.57.0.0 212.57.31.255
212.58.0.0 212.58.31.255
212.63.170.168 212.63.170.171
212.63.172.212 212.63.172.215
212.63.172.224 212.63.172.227
212.63.180.0 212.63.180.3
212.63.180.8 212.63.180.11
212.63.180.16 212.63.180.19
212.63.180.28 212.63.180.31
212.63.180.40 212.63.180.47
212.63.180.56 212.63.180.59
212.63.180.68 212.63.180.71
212.63.180.84 212.63.180.87
212.63.180.92 212.63.180.95
212.63.180.108 212.63.180.115
212.63.180.120 212.63.180.127
212.63.180.200 212.63.180.203
212.64.192.0 212.64.223.255
212.65.128.0 212.65.159.255
212.79.96.0 212.79.115.255
212.79.122.0 212.79.127.255
212.98.0.0 212.98.31.255
212.98.192.0 212.98.255.255
212.101.96.0 212.101.127.255
212.108.128.0 212.108.159.255
212.109.96.0 212.109.127.255
212.109.224.0 212.109.255.255
212.115.0.0 212.115.31.255
212.125.0.0 212.125.31.255
212.127.96.0 212.127.127.255
212.133.128.0 212.133.255.255
212.146.128.0 212.146.255.255
212.154.0.0 212.154.127.255
212.156.0.0 212.156.255.255
212.174.0.0 212.175.255.255
212.252.0.0 212.253.255.255
213.14.0.0 213.14.255.255
213.31.223.144 213.31.223.159
213.43.0.0 213.43.255.255
213.62.14.64 213.62.14.127
213.62.40.192 213.62.40.255
213.74.0.0 213.74.255.255
213.138.0.0 213.138.31.255
213.139.192.0 213.139.255.255
213.143.224.0 213.143.255.255
213.144.96.0 213.144.127.255
213.148.64.0 213.148.95.255
213.153.128.0 213.153.255.255
213.155.96.0 213.155.127.255
213.159.32.0 213.159.63.255
213.161.128.0 213.161.159.255
213.181.38.192 213.181.38.255
213.186.128.0 213.186.159.255
213.194.64.0 213.194.127.255
213.202.0.0 213.202.31.255
213.204.64.0 213.204.127.255
213.208.3.192 213.208.3.199
213.209.169.144 213.209.169.151
213.232.0.0 213.232.63.255
213.236.32.0 213.236.63.255
213.238.128.0 213.238.191.255
213.243.0.0 213.243.63.255
213.248.128.0 213.248.191.255
213.254.128.0 213.254.159.255
213.255.247.48 213.255.247.63
217.17.144.0 217.17.154.255
217.17.156.0 217.17.157.255
217.17.158.48 217.17.159.191
217.23.110.96 217.23.110.127
217.31.224.0 217.31.255.255
217.64.144.0 217.64.159.255
217.64.208.0 217.64.223.255
217.68.5.32 217.68.5.39
217.68.208.0 217.68.223.255
217.77.241.113 217.77.241.113
217.77.241.218 217.77.241.218
217.77.242.169 217.77.242.169
217.77.246.192 217.77.246.195
217.115.148.232 217.115.148.239
217.131.0.0 217.131.255.255
217.169.192.0 217.169.207.255
217.172.42.160 217.172.42.191
217.172.48.0 217.172.48.31
217.172.48.192 217.172.48.255
217.173.157.128 217.173.157.143
217.173.157.192 217.173.157.223
217.173.158.64 217.173.158.95
217.174.32.0 217.174.47.255
217.194.135.160 217.194.135.175
217.194.136.0 217.194.136.7
217.194.137.176 217.194.137.191
217.195.192.0 217.195.207.255


Valid XHTML 1.0 Transitional :: Valid CSS :: Powered by WikkaWiki