Screenshot von iftop im Zustand „Keine Teilnehmer, keine Konferenzen“.
Das ganze 45.143.220.0/24er Netz ist so abuse-Shit aus Island
Die meisten anderen Netze ebenfalls, werden teilweise schon auf den entsprechenden Blocklistseiten wie https://www.blocklist.de gelistet.
Kann man einfach ignorieren, aber sie rauschen nicht in fail2ban rein, weil sie in irgendwelche VoIP-, SIP- oder anderen nebuloesen Konferenzports von freeSWITH und/oder Kurento reinfeuern und sie hinterlassen auch keine Spuren in Logdateien, zumindest hab ich keine gefunden.
Ich hab mir jetzt nicht die Muehe gemacht, das mit tcpdump rauszufiltern, aber nethogs, iptraf und tcptrack zeigen da schon nicht unerheblich viel Traffic.
Ich sehe auch keine ernsthafte Gefahr. wollte nur mal darauf hinweisen, dass das Boese nicht schlaeft.
Wenn mir sowas auffaellt, banne ich das ganze /24er-Netz per iptables oder wenn „whois“ ein groesseres anzeigt den Rest auch noch gleich mit.
Eigentlich koennte man bestimmte Laender komplett bannen, ich geh ja auch gerne nach Holland in Urlaub, aber ein nicht geringer Anteil von dem ganzen Bullshit der da aufschlaegt kommt aus den Niederlanden. Da stehen direkt am AMS-IX peeringmaessig perfekt angebundene Server, die 24/7 nur Scheisse bauen.
Gruss Harry