<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8">
  </head>
  <body text="#000000" bgcolor="#FFFFFF">
    <font size="+1"><tt>Michael and all,<br>
        <br>
        for what concerning the JNOS the problem is subtle, namely<br>
        do not appear as the regular telnet connect, and so for me<br>
        is almost impossible to register what really happens.<br>
        I can register the traffic on 5 min basis and not more.<br>
        <br>
        I never used the fail2ban... but I think it go maid since<br>
        when you block an IP/Hostname the attacker switch to an<br>
        other identity. <br>
      </tt></font><br>
    <div class="moz-cite-prefix">On 10/19/2017 07:38 PM, Michael Fox -
      N6MEF wrote:<br>
    </div>
    <blockquote type="cite"
      cite="mid:012201d34901$084ff890$18efe9b0$@mefox.org">
      <pre wrap="">Gus,

You didn't say what type of "attack".  But if it's login attempts, then a useful tool is fail2ban.  You configure fail2ban to watch nos.log for failed logins (or any other condition for which you write a regex to match) and then ban the offending IP address.  When the match occurs a sufficient number of times, fail2ban writes a rule to iptables to block that IP.  You can define how many failed attempts, over what time period, and how long to block, etc.  After the ban period has expired, fail2ban removes the iptables rule.  You can block repeat offenders longer.  Lots of options.

Michael
N6MEF

</pre>
      <blockquote type="cite">
        <pre wrap="">-----Original Message-----
From: nos-bbs [<a class="moz-txt-link-freetext" href="mailto:nos-bbs-bounces@tapr.org">mailto:nos-bbs-bounces@tapr.org</a>] On Behalf Of Gustavo Ponza
Sent: Thursday, October 19, 2017 10:12 AM
To: <a class="moz-txt-link-abbreviated" href="mailto:nos-bbs@tapr.org">nos-bbs@tapr.org</a>
Subject: Re: [nos-bbs] Jnos memory leak with forwarding



On 10/19/2017 04:02 PM, Brian wrote:
</pre>
        <blockquote type="cite">
          <pre wrap="">Gus;

On Thu, 2017-10-19 at 12:04 +0200, Gustavo Ponza wrote:

</pre>
          <blockquote type="cite">
            <pre wrap="">I don't know your or other situations
but from my experience many resources
are spent to reply to the many attacks
to our systems... the jnos is rebooting
more frequently at least  from the last
year... other programs seems to remain
hard rock without any collapse.
</pre>
          </blockquote>
          <pre wrap="">Why is your jnos rebooting from attacks? That should never EVER happen.
If so, this is a critical warning sign that your iptables rules needs
fixing.
</pre>
        </blockquote>
        <pre wrap="">
Hi Brian,

you surely have full reasons about iptables rules, but how to
contrast the following situation? I'm not able to manage it.

A list of the actual attackers follows:

c.afekv.com.    0    IN    A    85.37.17.16
c.afekv.com.    0    IN    A    192.150.186.1
akamai.com.    0    IN    A    104.120.217.225
<a class="moz-txt-link-abbreviated" href="http://www.cybergreen.net">www.cybergreen.net</a>.    0    IN    A    104.18.32.114
<a class="moz-txt-link-abbreviated" href="http://www.cybergreen.net">www.cybergreen.net</a>.    0    IN    A    104.18.33.114
play.hypixel.net.    0    IN    HINFO    ANY    obsoleted
.    0    IN    SOA    a.root-servers.net. nstld.verisign-grs.com.
2017101500    1800    900    604800 86400
vmware.com.    0    IN    NS    a1.verisigndns.com.
vmware.com.    0    IN    NS    ns3.p14.dynect.net.
vmware.com.    0    IN    NS    a3.verisigndns.com.
vmware.com.    0    IN    NS    ns1.p14.dynect.net.
vmware.com.    0    IN    NS    a2.verisigndns.com.
vmware.com.    0    IN    NS    ns2.p14.dynect.net.
vmware.com.    0    IN    NS    ns4.p14.dynect.net.
cqnet.dyndns.org.    0    IN    A    94.177.237.192
sema.cz.    0    IN    SOA    ns.gransy.com.    root.gransy.com.
2017091903    86400    900    1209600    1800
com.    0    IN    SOA    a.gtld-servers.net. nstld.verisign-grs.com.
1507805791    1800    900    604800 86400
energy.gov.    0    IN    NS    ns1.es.net.
energy.gov.    0    IN    NS    foxbat.doe.gov.
energy.gov.    0    IN    NS    fulcrum.doe.gov.
<a class="moz-txt-link-abbreviated" href="http://www.google.com">www.google.com</a>.    0    IN    A    216.58.205.100
1x1.cz.    0    IN    A    217.16.191.139
1x1.cz.    0    IN    NS    ns2.gransy.com.
1x1.cz.    0    IN    NS    ns.gransy.com.
1x1.cz.    0    IN    NS    ns4.gransy.com.
1x1.cz.    0    IN    NS    ns5.gransy.com.
1x1.cz.    0    IN    NS    ns3.gransy.com.

--
73 and ciao, gus i0ojj/ir0aab
A proud member of linux team
Quidquid latine dictum sit, altum videtur

_______________________________________________
nos-bbs mailing list
<a class="moz-txt-link-abbreviated" href="mailto:nos-bbs@tapr.org">nos-bbs@tapr.org</a>
<a class="moz-txt-link-freetext" href="http://www.tapr.org/mailman/listinfo/nos-bbs">http://www.tapr.org/mailman/listinfo/nos-bbs</a>
</pre>
      </blockquote>
      <pre wrap="">
_______________________________________________
nos-bbs mailing list
<a class="moz-txt-link-abbreviated" href="mailto:nos-bbs@tapr.org">nos-bbs@tapr.org</a>
<a class="moz-txt-link-freetext" href="http://www.tapr.org/mailman/listinfo/nos-bbs">http://www.tapr.org/mailman/listinfo/nos-bbs</a>
</pre>
    </blockquote>
    <br>
    <pre class="moz-signature" cols="72">-- 
73 and ciao, gus i0ojj/ir0aab
A proud member of linux team
Quidquid latine dictum sit, altum videtur
</pre>
  </body>
</html>