ช่วงบล็อกของที่อยู่ IP


47

ฉันถูกโจมตีด้วยความพยายามแฮ็กจากประเทศจีนทั้งหมดด้วย IP ที่คล้ายกัน

ฉันจะบล็อกช่วง IP ด้วยบางอย่างเช่น 116.10.191. * ฯลฯ ได้อย่างไร

ฉันใช้เซิร์ฟเวอร์ Ubuntu 13.10

บรรทัดปัจจุบันที่ฉันใช้คือ:

sudo /sbin/iptables -A INPUT -s 116.10.191.207 -j DROP

สิ่งนี้ช่วยให้ฉันสามารถบล็อกแต่ละครั้งเท่านั้น แต่แฮกเกอร์กำลังเปลี่ยน IP ทุกครั้ง


4
คุณควรดู fail2ban มันดีจริงๆที่ห้ามแบนด์รบกวนที่อยู่ IP
user9517 รองรับ GoFundMonica

ฉันต้องการเพิ่ม knockd เพื่อกำจัดความพยายามเข้าถึงที่ล้มเหลวเกือบ 100% จากบันทึกของฉัน help.ubuntu.com/community/PortKnocking
Bruno Bronosky

pam_shield สามารถช่วยได้ที่นี่ github.com/jtniehof/pam_shield
Daniel

คำตอบ:


85

หากต้องการบล็อกที่อยู่ 116.10.191. *:

$ sudo iptables -A INPUT -s 116.10.191.0/24 -j DROP

หากต้องการบล็อกที่อยู่ 116.10. *. *:

$ sudo iptables -A INPUT -s 116.10.0.0/16 -j DROP

หากต้องการบล็อกที่อยู่ 116. *. *. *:

$ sudo iptables -A INPUT -s 116.0.0.0/8 -j DROP

แต่ระวังสิ่งที่คุณบล็อกโดยใช้วิธีนี้ คุณไม่ต้องการป้องกันทราฟฟิกที่ถูกต้องตามกฎหมายไม่ให้ไปถึงโฮสต์

แก้ไข : ตามที่อธิบายไว้ iptables จะประเมินกฎตามลำดับ กฎที่สูงกว่าในชุดกฎจะถูกนำไปใช้ก่อนที่กฎจะต่ำกว่าในชุดกฎ ดังนั้นหากมีกฎที่สูงกว่าในชุดกฎของคุณที่อนุญาตทราฟฟิกดังกล่าวดังนั้นการผนวก ( iptables -A) กฎ DROP จะไม่สร้างผลลัพธ์การบล็อกที่ต้องการ ในกรณีนี้ให้แทรก ( iptables -I) กฎอย่างใดอย่างหนึ่ง:

  • ตามกฎข้อแรก

sudo iptables -I ...

  • หรือก่อนกฎอนุญาต

sudo iptables --line-numbers -vnL

บอกว่าแสดงกฎข้อที่ 3 อนุญาตการรับส่งข้อมูล ssh และคุณต้องการบล็อก ssh สำหรับช่วง ip -Iรับอาร์กิวเมนต์จำนวนเต็มซึ่งเป็นตำแหน่งในชุดกฎของคุณที่คุณต้องการแทรกกฎใหม่

iptables -I 2 ...


ตรวจสอบarin.netและป้องกันทั้งช่วงของอัมสเตอร์ดัมเจ้าของช่วง IP ที่นั่นคือ RIPE พร้อมสไปเดอร์ตรวจสอบ - ฉันสงสัยว่ามีทราฟฟิกที่ถูกกฎหมายออกมาจากที่นั่น
WEBjuju

โปรดทราบว่าสิ่งนี้อาจไม่ทำงานขึ้นอยู่กับคำสั่งของกฎ iptableโปรดดู answer serverfault.com/a/507502/1
Jeff Atwood

2
o snap @JeffAtwood ฉันรู้สึกเป็นเกียรติกับความคิดเห็นของคุณ คำตอบการปรับปรุง;)
ห้วย

และคุณจะปลดบล็อกช่วงหนึ่งได้อย่างไร
bzero

11

sudo /sbin/iptables -A INPUT -s 116.10.191.0/24 -j DROP

ช่วงนี้บล็อก คุณสามารถขยายซับเน็ตได้ตามต้องการด้วยรูปแบบทั่วไปเดียวกัน


จะใช้ได้กับทั้งเซ็ตที่ 4 หรือไม่ ไลค์คือ 0/24 เท่านั้น 0-24 ฉันลองตัวอย่าง 500 แต่ใช้ไม่ได้ จะ 0/24 ครอบคลุมตัวเลขอื่น ๆ เหล่านั้นทั้งหมดใน 100 และ 200
Stephen Cioffi

3
@ สตีเฟ่นมันเป็นช่วง CIDR หากคุณต้องการคำนวณในช่วงที่ต่างออกไปให้ใช้สิ่งนี้: subnet-calculator.com/cidr.php
Nathan C

4

เป็นอีกวิธีหนึ่งที่คุณสามารถใช้บางสิ่งที่ง่ายเหมือน fail2ban มีการหมดเวลาสำหรับการพยายามลงชื่อเข้าใช้ที่ล้มเหลวอย่างต่อเนื่องและทำให้เป็นไปไม่ได้เนื่องจากพวกเขาได้รับโอกาสเพียงไม่กี่ครั้งต่อการหมดเวลา ฉันตั้งเวลาหมดเวลาได้ 30 นาที เมื่อถึงเวลาหนึ่งหรือสองชั่วโมงพวกเขาตระหนักดีว่าพวกเขาจะไม่สามารถเดินหน้าและเลิกได้


นอกจากนี้การบล็อกทั้งประเทศอาจขัดขวางการใช้งานที่ได้รับอนุญาต
Esa Jokinen

ฉันรู้ว่าหัวข้อนี้มีอายุเกินหนึ่งปี แต่ฉันต้องการให้ผู้คนรู้บางสิ่งบางอย่าง ฉันติดตั้ง fail2ban แล้วและทำงานอยู่ แต่ยังตรวจสอบบันทึกเซิร์ฟเวอร์เป็นประจำ มีช่วง IP นี้89.248.x.xที่พยายามทำการเข้าสู่ระบบอีเมลต่าง ๆ หลังจากผ่านไปหนึ่งชั่วโมงจากการพยายามครั้งสุดท้ายตลอดทั้งวัน เห็นได้ชัดว่าการรักษาความfindtimeล้มเหลวใน 2 นาทีที่ 30 นาทีนั้นไม่เพียงพอที่จะป้องกันไม่ให้ตัวละครที่น่ารังเกียจออกมาอีกต่อไป
Tanzeel Kazi
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.