複数の Web サイトがあるサーバーをスキャンする IP (Portsentry で検出) を自動的にブロックしたい。
IP 範囲を禁止するためにどのレベルを選択すればよいかわかりません。/ 24、/ 16 その他? どのレベルから誤検知 (正当なトラフィックがブロックされる) のリスクがあるのでしょうか?
例: この IP が攻撃を試みています: 100.100.100.100。100.100.0/24 または 100.100.0.0/16 をブロックすると危険ですか? 最も適切なレベルは何ですか?
答え1
1 つの IP アドレスをブロックするだけでも、多くの正当なトラフィックがブロックされる可能性があります。国全体で 1 つの IP アドレスを共有していた時期もありました。2009 年になっても、82.148.97.69 をブロックすると、何千人もの人がブロックされていました (ただし、時々報告されているようにカタール全体がブロックされたわけではありません)。
答え2
違反者を阻止したいだけなら、即時 IP ブロックを禁止するだけで十分でしょう。それ以上のことはしません。
例えば、私がVodaphone Australiaから攻撃を受けていると想像してください
- IPアドレスは202.142.xxx.yyyであることはわかっています
- 私はこの役に立つサイトにアクセスします出典:IPアドレスを入力してください
- 202.142.136.0/21 (2046 ホスト) をブロックする必要があると表示されます。
最終的には、攻撃の深刻度と、失われる可能性のある正当なトラフィックの量を比較して判断するのはあなた次第です。弊社ではその点についてお手伝いすることはできません。
編集プログラムで実行したい場合は、whois が役立ちます:
# Stackoverflow
whois 199.115.115.119 | grep -o "inetnum:.*"
# inetnum: 199.0.0.0 - 199.255.255.255