🛡️ iptables DDoS-IP Sperrliste Generator
Automatische Generierung von Firewall-Regeln für DDoS-IPs aus der Hoster-Blacklist
🎯 Duplikate automatisch entfernt
Bei mehrfach vorkommenden IP-Adressen wird nur der neueste Eintrag aus der Datenbank verwendet.
59
Eindeutige DDoS-IPs
9
Betroffene Länder
2
Verschiedene Hoster
34
Betroffene Ports
6
Bösartige Hostnamen
📋 Schnellanleitung
1. Klicken Sie auf "Kopieren", um alle Regeln in die Zwischenablage zu kopieren
2. Öffnen Sie ein Terminal auf Ihrem Linux-Server
3. Erstellen Sie eine neue Datei: nano block-ddos-ips.sh
4. Fügen Sie den kopierten Inhalt ein und speichern Sie die Datei
5. Machen Sie die Datei ausführbar: chmod +x block-ddos-ips.sh
6. Führen Sie das Script aus: sudo ./block-ddos-ips.sh
🔧 Erweiterte Anleitung für iptables
- Einzelne Befehle eingeben:
Sie können die Befehle auch einzeln eingeben, z.B.:
sudo iptables -A INPUT -s 171.0.0.0/8 -j DROP - iptables-persistent installieren:
sudo apt install iptables-persistent -y
(Falls noch nicht installiert) - Regeln dauerhaft speichern:
sudo netfilter-persistent save
(Die Regeln werden in /etc/iptables/rules.v4 gespeichert) - Regeln überprüfen:
sudo iptables -L INPUT -n --line-numbers
🌐 iptables DDoS-IP Regeln (ohne Duplikate)
#!/bin/bash # iptables Sperrliste für DDoS-Angreifer (aus ddos_ips Tabelle) # Generiert am: 2025-09-29 00:23:59 # Anzahl der eindeutigen gesperrten IPs: 59 # Angriff: 19.08.2025 21:39 sudo iptables -A INPUT -s 101.160.0.0/11 -j DROP # Land: AU | ASN: AS133618 TRELLIAN-AS-AP Trellian Pty. Limited, AU | Angriff: 20.08.2025 22:38 sudo iptables -A INPUT -s 101.95.0.0/16 -j DROP # Land: AU | ASN: AS133618 TRELLIAN-AS-AP Trellian Pty. Limited, AU | Angriff: 19.08.2025 22:59 sudo iptables -A INPUT -s 103.224.182.145 -j DROP # Land: AU | ASN: AS133618 TRELLIAN-AS-AP Trellian Pty. Limited, AU | Angriff: 30.08.2025 17:35 sudo iptables -A INPUT -s 103.224.182.245 -j DROP # Land: RU | ASN: AS25513 ASN-MGTS-USPD PJSC Moscow city telephone | Angriff: 03.09.2025 01:19 sudo iptables -A INPUT -s 109.252.146.182/32 -j DROP # Angriff: 19.08.2025 21:39 sudo iptables -A INPUT -s 120.144.0.0/12 -j DROP # Land: AU | ASN: AS133618 TRELLIAN-AS-AP Trellian Pty. Limited, AU | Angriff: 20.08.2025 22:38 sudo iptables -A INPUT -s 124.0.0.0/8 -j DROP # Land: AU | ASN: AS133618 TRELLIAN-AS-AP Trellian Pty. Limited, AU | Angriff: 12.12.2024 17:46 sudo iptables -A INPUT -s 13.52.188.95 -j DROP # Angriff: 09.09.2025 21:11 sudo iptables -A INPUT -s 169.224.9.153/32 -j DROP # Hoster: AS7552 VIETEL-AS-AP Viettel Group, VN | Angriff: 11.08.2025 03:17 sudo iptables -A INPUT -s 171.0.0.0/8 -j DROP # Hoster: böser hoster | Angriff: 11.08.2025 15:41 sudo iptables -A INPUT -s 171.224.0.0 -j DROP # Hoster: AS7552 VIETEL-AS-AP Viettel Group, VN | Angriff: 11.08.2025 03:17 sudo iptables -A INPUT -s 171.228.128.0/17 -j DROP # Land: TR | ASN: AS47524 AS-TURKSAT Turksat Uydu Haberlesme ve Kabl | Angriff: 31.08.2025 22:24 sudo iptables -A INPUT -s 176.240.0.17/32 -j DROP # Land: TR | ASN: AS212742 AS48678 PENTECH BILISIM TEKNOLOJILERI SAN | Angriff: 02.09.2025 20:10 sudo iptables -A INPUT -s 176.52.40.61/32 -j DROP # Land: US | ASN: AS14061 DIGITALOCEAN-ASN, US | Angriff: 02.09.2025 17:02 sudo iptables -A INPUT -s 178.128.0.0/9 -j DROP # Land: US | ASN: AS14061 DIGITALOCEAN-ASN, US | Angriff: 02.09.2025 17:02 sudo iptables -A INPUT -s 178.186.155.22/32 -j DROP # Land: US | ASN: AS14061 DIGITALOCEAN-ASN, US | Angriff: 02.09.2025 17:02 sudo iptables -A INPUT -s 178.34.137.145/32 -j DROP # Land: TR | ASN: AS47524 AS-TURKSAT Turksat Uydu Haberlesme ve Kabl | Angriff: 31.08.2025 22:24 sudo iptables -A INPUT -s 181.46.9.96/32 -j DROP # Angriff: 21.09.2025 19:58 sudo iptables -A INPUT -s 185.120.147.22 -j DROP # Angriff: 09.09.2025 21:11 sudo iptables -A INPUT -s 185.147.102.146/32 -j DROP # Angriff: 21.08.2025 23:57 sudo iptables -A INPUT -s 185.191.178.69/32 -j DROP # Land: PL | ASN: AS205105 INFONET Multan Michal trading as INFO-NET | Angriff: 23.08.2025 20:22 sudo iptables -A INPUT -s 185.230.169.78/32 -j DROP # Land: TR | ASN: AS47524 AS-TURKSAT Turksat Uydu Haberlesme ve Kabl | Angriff: 31.08.2025 22:24 sudo iptables -A INPUT -s 186.136.124.196/32 -j DROP # Angriff: 20.08.2025 01:05 sudo iptables -A INPUT -s 186.182.168.27/32 -j DROP # Land: TR | ASN: AS212742 AS48678 PENTECH BILISIM TEKNOLOJILERI SAN | Angriff: 02.09.2025 20:10 sudo iptables -A INPUT -s 188.132.128.0/17 -j DROP # Land: AU | ASN: AS133618 TRELLIAN-AS-AP Trellian Pty. Limited, AU | Angriff: 19.08.2025 22:29 sudo iptables -A INPUT -s 193.165.97.221/32 -j DROP # Land: TR | ASN: AS47524 AS-TURKSAT Turksat Uydu Haberlesme ve Kabl | Angriff: 31.08.2025 22:24 sudo iptables -A INPUT -s 194.163.136.73/32 -j DROP # Angriff: 19.08.2025 22:59 sudo iptables -A INPUT -s 194.176.184.193 -j DROP # Angriff: 27.08.2025 20:55 sudo iptables -A INPUT -s 212.32.82.8 -j DROP # Angriff: 22.08.2025 20:16 sudo iptables -A INPUT -s 213.134.182.91/32 -j DROP # Land: AU | ASN: AS133618 TRELLIAN-AS-AP Trellian Pty. Limited, AU | Angriff: 13.12.2024 20:44 sudo iptables -A INPUT -s 223.0.0.0 -j DROP # Land: CN | ASN: China Beijing Beijing Beilong Yunhai Network Data | Angriff: 13.12.2024 20:44 sudo iptables -A INPUT -s 223.0.0.0/8 -j DROP # Land: TW | ASN: AS3462 HINET Data Communication Business Group, TW | Angriff: 12.12.2024 17:46 sudo iptables -A INPUT -s 223.0.0.0/9 -j DROP # Land: RU | ASN: AS8580 SANDY MTS PJSC, RU | Angriff: 02.09.2025 17:44 sudo iptables -A INPUT -s 31.58.128.0/17 -j DROP # Land: TR | ASN: AS212742 AS48678 PENTECH BILISIM TEKNOLOJILERI SAN | Angriff: 02.09.2025 20:10 sudo iptables -A INPUT -s 31.58.192.0/18 -j DROP # Land: TR | ASN: AS212742 AS48678 PENTECH BILISIM TEKNOLOJILERI SAN | Angriff: 02.09.2025 20:10 sudo iptables -A INPUT -s 31.59.0.0/16 -j DROP # Land: TW | ASN: AS3462 HINET Data Communication Business Group, TW | Angriff: 12.12.2024 17:46 sudo iptables -A INPUT -s 36.224.0.0/12 -j DROP # Land: US | ASN: AS14061 DIGITALOCEAN-ASN, US | Angriff: 02.09.2025 17:02 sudo iptables -A INPUT -s 37.23.39.189/32 -j DROP # Land: IT | ASN: AS3269 ASN-IBSNAZ Telecom Italia S.p.A., IT | Angriff: 21.08.2025 18:37 sudo iptables -A INPUT -s 46.0.142.157/32 -j DROP # Angriff: 17.01.2025 20:40 sudo iptables -A INPUT -s 46.38.225.230 -j DROP # Land: US | ASN: AS14061 DIGITALOCEAN-ASN, US | Angriff: 02.09.2025 17:02 sudo iptables -A INPUT -s 46.48.55.250/32 -j DROP # Land: AU | ASN: AS133618 TRELLIAN-AS-AP Trellian Pty. Limited, AU | Angriff: 19.08.2025 22:29 sudo iptables -A INPUT -s 5.173.186.80/32 -j DROP # Land: RU | ASN: AS8580 SANDY MTS PJSC, RU | Angriff: 02.09.2025 17:44 sudo iptables -A INPUT -s 5.227.24.12/32 -j DROP # Angriff: 21.08.2025 23:57 sudo iptables -A INPUT -s 51.19.235.69/32 -j DROP # Angriff: 20.08.2025 01:05 sudo iptables -A INPUT -s 79.163.223.128/32 -j DROP # Land: IT | ASN: AS3269 ASN-IBSNAZ Telecom Italia S.p.A., IT | Angriff: 21.08.2025 18:37 sudo iptables -A INPUT -s 79.45.137.251/32 -j DROP # Land: TW | ASN: AS3462 HINET Data Communication Business Group, TW | Angriff: 12.12.2024 17:46 sudo iptables -A INPUT -s 80.245.192.95 -j DROP # Land: AU | ASN: AS133618 TRELLIAN-AS-AP Trellian Pty. Limited, AU | Angriff: 19.08.2025 22:29 sudo iptables -A INPUT -s 81.215.166.207/32 -j DROP # Land: RO | ASN: AS8708 RCS-RDS DIGI ROMANIA S.A., RO | Angriff: 31.08.2025 22:09 sudo iptables -A INPUT -s 82.79.152.226 -j DROP # Angriff: 22.08.2025 20:16 sudo iptables -A INPUT -s 83.20.244.137/32 -j DROP # Land: PL | ASN: AS205105 INFONET Multan Michal trading as INFO-NET | Angriff: 23.08.2025 20:22 sudo iptables -A INPUT -s 83.24.54.54/32 -j DROP # Angriff: 22.08.2025 19:45 sudo iptables -A INPUT -s 83.25.46.110/32 -j DROP # Angriff: 20.08.2025 01:05 sudo iptables -A INPUT -s 83.27.165.132/32 -j DROP # Angriff: 21.08.2025 23:57 sudo iptables -A INPUT -s 83.27.239.160/32 -j DROP # Angriff: 22.08.2025 20:16 sudo iptables -A INPUT -s 83.6.184.157/32 -j DROP # Land: PL | ASN: AS205105 INFONET Multan Michal trading as INFO-NET | Angriff: 23.08.2025 20:22 sudo iptables -A INPUT -s 85.107.63.145/32 -j DROP # Angriff: 22.08.2025 19:45 sudo iptables -A INPUT -s 89.64.91.112/32 -j DROP # Hoster: AS7552 VIETEL-AS-AP Viettel Group, VN | Angriff: 11.08.2025 03:17 sudo iptables -A INPUT -s 91.193.193.71/32 -j DROP # Land: RU | ASN: AS25513 ASN-MGTS-USPD PJSC Moscow city telephone | Angriff: 03.09.2025 01:19 sudo iptables -A INPUT -s 94.29.16.66/32 -j DROP # === STATISTIK === # Eindeutige gesperrte IPs nach Land: # AU: 9 IP(s) # TR: 8 IP(s) # US: 5 IP(s) # RU: 4 IP(s) # PL: 3 IP(s) # TW: 3 IP(s) # IT: 2 IP(s) # CN: 1 IP(s) # RO: 1 IP(s) # Top 10 Hoster mit den meisten DDoS-IPs: # AS7552 VIETEL-AS-AP Viettel Group, VN: 3 IP(s) # böser hoster: 1 IP(s) # Top 10 betroffene Ports: # Port 9677: 5 mal # Port 64009: 5 mal # Port 59005: 5 mal # Port 35462: 5 mal # Port 55183: 5 mal # Port 28326: 5 mal # Port 56352: 4 mal # Port 35647: 4 mal # Port 55106: 4 mal # Port 36449: 4 mal # === REGELN DAUERHAFT SPEICHERN === # # Option 1: Befehle einzeln eingeben # Ihr könnt die Befehle auch einzeln eingeben: # Beispiel: sudo iptables -A INPUT -s 171.0.0.0/8 -j DROP # # Option 2: Regeln dauerhaft speichern # Installation von iptables-persistent (falls nicht installiert): sudo apt install iptables-persistent -y # # Regeln speichern: sudo netfilter-persistent save # (Die Regeln werden in /etc/iptables/rules.v4 gespeichert.) # # Überprüfen der Regeln: sudo iptables -L INPUT -n --line-numbers
🔌 Port-Sperr-Regeln für häufig angegriffene Ports
⚠️ WICHTIGER HINWEIS
Prüfen Sie vor der Anwendung:
- Ob Sie diese Ports wirklich blockieren möchten
- Ob wichtige Dienste auf diesen Ports laufen
- Ob Sie alternative Ports für Ihre Dienste konfiguriert haben
📊 Port-Statistik aus den DDoS-Angriffen:
- Port 9677: 5 Angriffe
- Port 64009: 5 Angriffe
- Port 59005: 5 Angriffe
- Port 35462: 5 Angriffe
- Port 55183: 5 Angriffe
- Port 28326: 5 Angriffe
- Port 56352: 4 Angriffe
- Port 35647: 4 Angriffe
- Port 55106: 4 Angriffe
- Port 36449: 4 Angriffe
🔒 iptables Port-Sperr-Regeln
# === PORT-SPERR-REGELN === # Diese Regeln blockieren eingehenden Traffic auf häufig angegriffenen Ports # WARNUNG: Prüfen Sie, ob Sie diese Ports wirklich blockieren möchten! # Port 9677 wurde 5 mal angegriffen sudo iptables -A INPUT -p tcp --dport 9677 -j DROP sudo iptables -A INPUT -p udp --dport 9677 -j DROP # Port 64009 wurde 5 mal angegriffen sudo iptables -A INPUT -p tcp --dport 64009 -j DROP sudo iptables -A INPUT -p udp --dport 64009 -j DROP # Port 59005 wurde 5 mal angegriffen sudo iptables -A INPUT -p tcp --dport 59005 -j DROP sudo iptables -A INPUT -p udp --dport 59005 -j DROP # Port 35462 wurde 5 mal angegriffen sudo iptables -A INPUT -p tcp --dport 35462 -j DROP sudo iptables -A INPUT -p udp --dport 35462 -j DROP # Port 55183 wurde 5 mal angegriffen sudo iptables -A INPUT -p tcp --dport 55183 -j DROP sudo iptables -A INPUT -p udp --dport 55183 -j DROP # Port 28326 wurde 5 mal angegriffen sudo iptables -A INPUT -p tcp --dport 28326 -j DROP sudo iptables -A INPUT -p udp --dport 28326 -j DROP # Port 56352 wurde 4 mal angegriffen sudo iptables -A INPUT -p tcp --dport 56352 -j DROP sudo iptables -A INPUT -p udp --dport 56352 -j DROP # Port 35647 wurde 4 mal angegriffen sudo iptables -A INPUT -p tcp --dport 35647 -j DROP sudo iptables -A INPUT -p udp --dport 35647 -j DROP # Port 55106 wurde 4 mal angegriffen sudo iptables -A INPUT -p tcp --dport 55106 -j DROP sudo iptables -A INPUT -p udp --dport 55106 -j DROP # Port 36449 wurde 4 mal angegriffen sudo iptables -A INPUT -p tcp --dport 36449 -j DROP sudo iptables -A INPUT -p udp --dport 36449 -j DROP # Port 54634 wurde 4 mal angegriffen sudo iptables -A INPUT -p tcp --dport 54634 -j DROP sudo iptables -A INPUT -p udp --dport 54634 -j DROP # Port 27015 wurde 3 mal angegriffen sudo iptables -A INPUT -p tcp --dport 27015 -j DROP sudo iptables -A INPUT -p udp --dport 27015 -j DROP # Port 52817 wurde 3 mal angegriffen sudo iptables -A INPUT -p tcp --dport 52817 -j DROP sudo iptables -A INPUT -p udp --dport 52817 -j DROP # Port 64477 wurde 3 mal angegriffen sudo iptables -A INPUT -p tcp --dport 64477 -j DROP sudo iptables -A INPUT -p udp --dport 64477 -j DROP # Port 53702 wurde 3 mal angegriffen sudo iptables -A INPUT -p tcp --dport 53702 -j DROP sudo iptables -A INPUT -p udp --dport 53702 -j DROP # Port 35625 wurde 3 mal angegriffen sudo iptables -A INPUT -p tcp --dport 35625 -j DROP sudo iptables -A INPUT -p udp --dport 35625 -j DROP # Port 59685 wurde 3 mal angegriffen sudo iptables -A INPUT -p tcp --dport 59685 -j DROP sudo iptables -A INPUT -p udp --dport 59685 -j DROP # Port 57737 wurde 3 mal angegriffen sudo iptables -A INPUT -p tcp --dport 57737 -j DROP sudo iptables -A INPUT -p udp --dport 57737 -j DROP # Port 65216 wurde 3 mal angegriffen sudo iptables -A INPUT -p tcp --dport 65216 -j DROP sudo iptables -A INPUT -p udp --dport 65216 -j DROP # Port 65534 wurde 3 mal angegriffen sudo iptables -A INPUT -p tcp --dport 65534 -j DROP sudo iptables -A INPUT -p udp --dport 65534 -j DROP # Port 36655 wurde 3 mal angegriffen sudo iptables -A INPUT -p tcp --dport 36655 -j DROP sudo iptables -A INPUT -p udp --dport 36655 -j DROP # Port 50700 wurde 3 mal angegriffen sudo iptables -A INPUT -p tcp --dport 50700 -j DROP sudo iptables -A INPUT -p udp --dport 50700 -j DROP # Port 7698 wurde 3 mal angegriffen sudo iptables -A INPUT -p tcp --dport 7698 -j DROP sudo iptables -A INPUT -p udp --dport 7698 -j DROP # Port 56762 wurde 3 mal angegriffen sudo iptables -A INPUT -p tcp --dport 56762 -j DROP sudo iptables -A INPUT -p udp --dport 56762 -j DROP # Port 26833 wurde 3 mal angegriffen sudo iptables -A INPUT -p tcp --dport 26833 -j DROP sudo iptables -A INPUT -p udp --dport 26833 -j DROP # Port 2736 wurde 2 mal angegriffen sudo iptables -A INPUT -p tcp --dport 2736 -j DROP sudo iptables -A INPUT -p udp --dport 2736 -j DROP # Port 1246 wurde 2 mal angegriffen sudo iptables -A INPUT -p tcp --dport 1246 -j DROP sudo iptables -A INPUT -p udp --dport 1246 -j DROP # Port 60751 wurde 2 mal angegriffen sudo iptables -A INPUT -p tcp --dport 60751 -j DROP sudo iptables -A INPUT -p udp --dport 60751 -j DROP # Port 26842 wurde 2 mal angegriffen sudo iptables -A INPUT -p tcp --dport 26842 -j DROP sudo iptables -A INPUT -p udp --dport 26842 -j DROP # Port 50962 wurde 2 mal angegriffen sudo iptables -A INPUT -p tcp --dport 50962 -j DROP sudo iptables -A INPUT -p udp --dport 50962 -j DROP # Port 48401 wurde 2 mal angegriffen sudo iptables -A INPUT -p tcp --dport 48401 -j DROP sudo iptables -A INPUT -p udp --dport 48401 -j DROP # Port 49163 wurde 2 mal angegriffen sudo iptables -A INPUT -p tcp --dport 49163 -j DROP sudo iptables -A INPUT -p udp --dport 49163 -j DROP # Port 53 wurde 1 mal angegriffen sudo iptables -A INPUT -p tcp --dport 53 -j DROP sudo iptables -A INPUT -p udp --dport 53 -j DROP # Port 1900 wurde 1 mal angegriffen sudo iptables -A INPUT -p tcp --dport 1900 -j DROP sudo iptables -A INPUT -p udp --dport 1900 -j DROP
💡 Tipp: Sichere Alternative
Anstatt Ports komplett zu blockieren, können Sie auch Rate-Limiting verwenden:
sudo iptables -A INPUT -p tcp --dport 9987 -m limit --limit 10/minute --limit-burst 20 -j ACCEPTsudo iptables -A INPUT -p tcp --dport 9987 -j DROP
Dies erlaubt maximal 10 Verbindungen pro Minute auf Port 9987.
🌍 Hostname-Sperr-Regeln für bösartige Domains
⚠️ WICHTIGER HINWEIS
Beachten Sie bei Hostname-Blockierungen:
- DNS-basierte Regeln können die Performance beeinträchtigen
- Die hosts-Datei Methode ist effizienter als iptables String-Matching
- Prüfen Sie, ob legitime Dienste diese Hostnamen verwenden
- Aktualisieren Sie die Liste regelmäßig
🌐 Gemeldete bösartige Hostnamen
bbr02.anx84.nue.de
24 mal gemeldet
24 mal gemeldet
bbr01.anx03.vie.at
15 mal gemeldet
15 mal gemeldet
bbr02.anx63.ams.nl
9 mal gemeldet
9 mal gemeldet
bbr01.anx84.nue.de
9 mal gemeldet
9 mal gemeldet
bbr02.anx25.fra.de
1 mal gemeldet
1 mal gemeldet
bbr02.anx82.fra.de
1 mal gemeldet
1 mal gemeldet
🚫 Hostname-Blockierungs-Regeln
# === HOSTNAME-SPERR-REGELN === # Diese Regeln blockieren bösartige Hostnamen # WICHTIG: Diese Regeln erfordern DNS-Auflösung und können Performance beeinträchtigen! # === Option 1: Hosts-Datei (empfohlen für statische Blockierung) === # Fügen Sie folgende Zeilen zu /etc/hosts hinzu: # bbr02.anx84.nue.de wurde 24 mal gemeldet 127.0.0.1 bbr02.anx84.nue.de ::1 bbr02.anx84.nue.de # bbr01.anx03.vie.at wurde 15 mal gemeldet 127.0.0.1 bbr01.anx03.vie.at ::1 bbr01.anx03.vie.at # bbr02.anx63.ams.nl wurde 9 mal gemeldet 127.0.0.1 bbr02.anx63.ams.nl ::1 bbr02.anx63.ams.nl # bbr01.anx84.nue.de wurde 9 mal gemeldet 127.0.0.1 bbr01.anx84.nue.de ::1 bbr01.anx84.nue.de # bbr02.anx25.fra.de wurde 1 mal gemeldet 127.0.0.1 bbr02.anx25.fra.de ::1 bbr02.anx25.fra.de # bbr02.anx82.fra.de wurde 1 mal gemeldet 127.0.0.1 bbr02.anx82.fra.de ::1 bbr02.anx82.fra.de # === Option 2: iptables mit String-Matching (für DNS-Anfragen) === # Blockiert DNS-Anfragen für diese Domains: # Blockiere DNS-Anfragen für: bbr02.anx84.nue.de sudo iptables -A INPUT -p udp --dport 53 -m string --hex-string "|05626272303205616e783834036e7565026465|" --algo bm -j DROP sudo iptables -A OUTPUT -p udp --dport 53 -m string --hex-string "|05626272303205616e783834036e7565026465|" --algo bm -j DROP # Blockiere DNS-Anfragen für: bbr01.anx03.vie.at sudo iptables -A INPUT -p udp --dport 53 -m string --hex-string "|05626272303105616e78303303766965026174|" --algo bm -j DROP sudo iptables -A OUTPUT -p udp --dport 53 -m string --hex-string "|05626272303105616e78303303766965026174|" --algo bm -j DROP # Blockiere DNS-Anfragen für: bbr02.anx63.ams.nl sudo iptables -A INPUT -p udp --dport 53 -m string --hex-string "|05626272303205616e78363303616d73026e6c|" --algo bm -j DROP sudo iptables -A OUTPUT -p udp --dport 53 -m string --hex-string "|05626272303205616e78363303616d73026e6c|" --algo bm -j DROP # Blockiere DNS-Anfragen für: bbr01.anx84.nue.de sudo iptables -A INPUT -p udp --dport 53 -m string --hex-string "|05626272303105616e783834036e7565026465|" --algo bm -j DROP sudo iptables -A OUTPUT -p udp --dport 53 -m string --hex-string "|05626272303105616e783834036e7565026465|" --algo bm -j DROP # Blockiere DNS-Anfragen für: bbr02.anx25.fra.de sudo iptables -A INPUT -p udp --dport 53 -m string --hex-string "|05626272303205616e78323503667261026465|" --algo bm -j DROP sudo iptables -A OUTPUT -p udp --dport 53 -m string --hex-string "|05626272303205616e78323503667261026465|" --algo bm -j DROP # Blockiere DNS-Anfragen für: bbr02.anx82.fra.de sudo iptables -A INPUT -p udp --dport 53 -m string --hex-string "|05626272303205616e78383203667261026465|" --algo bm -j DROP sudo iptables -A OUTPUT -p udp --dport 53 -m string --hex-string "|05626272303205616e78383203667261026465|" --algo bm -j DROP # === Option 3: Fail2ban Integration === # Erstellen Sie eine Fail2ban-Regel für diese Hostnamen # Datei: /etc/fail2ban/filter.d/malicious-hostnames.conf
💡 Empfohlene Vorgehensweise
1. Hosts-Datei bearbeiten (empfohlen):
sudo nano /etc/hosts
Fügen Sie die bösartigen Hostnamen mit 127.0.0.1 hinzu
2. DNS-Server konfigurieren:
Nutzen Sie einen DNS-Server wie Pi-hole oder Bind9 für zentrale Blockierung
3. Fail2ban Integration:
Erstellen Sie dynamische Regeln, die auf Log-Einträge reagieren
🌍 Länderstatistik
AU: 9 IPs
TR: 8 IPs
US: 5 IPs
RU: 4 IPs
PL: 3 IPs
TW: 3 IPs
IT: 2 IPs
CN: 1 IPs
RO: 1 IPs
🏢 Top 10 Hoster mit den meisten DDoS-IPs
AS7552 VIETEL-AS-AP Viettel Group, VN
3 IPs
böser hoster
1 IPs
🔌 Top betroffene Ports
Port 9677
5 mal
5 mal
Port 64009
5 mal
5 mal
Port 59005
5 mal
5 mal
Port 35462
5 mal
5 mal
Port 55183
5 mal
5 mal
Port 28326
5 mal
5 mal
Port 56352
4 mal
4 mal
Port 35647
4 mal
4 mal
Port 55106
4 mal
4 mal
Port 36449
4 mal
4 mal