Ich möchte IPs automatisch blockieren, die meinen Server scannen (erkannt mit Portsentry), auf dem sich mehrere Websites befinden.
Ich weiß nicht, welche Stufe ich wählen soll, um IP-Bereiche zu sperren. / 24, / 16, andere? Ab welcher Stufe besteht das Risiko von Fehlalarmen (Blockierung legitimer Datenverkehr)?
Beispiel: Diese IP versucht einen Angriff: 100.100.100.100. Wenn ich 100.100.100.0/24 oder 100.100.0.0/16 blockiere, ist das riskant? Welches Level ist am geeignetsten?
Antwort1
Selbst das Blockieren einer einzigen IP-Adresse kann eine Menge legitimen Datenverkehrs blockieren. Es gab Zeiten, in denen ein ganzes Land eine einzige IP-Adresse gemeinsam nutzte. Noch 2009 hätte das Blockieren der Adresse 82.148.97.69 Tausende von Menschen blockiert (allerdings nicht ganz Katar, wie manchmal berichtet wird).
Antwort2
Wenn Sie nur den Täter stoppen möchten, reicht es normalerweise aus, die IP-Adresse sofort zu sperren. Viel weiter würde ich nicht gehen.
Stellen Sie sich zum Beispiel vor, ich werde von Vodafone Australia angegriffen
- Ich weiß, dass die IP-Adresse 202.142.xxx.yyy ist
- Ich gehe zu dieser hilfreichen Sitehttps://mxtoolbox.com/asn.aspxund geben Sie die IP ein
- Es sagt mir, dass ich 202.142.136.0/21 (2046 Hosts) blockieren muss.
Letztendlich liegt es an Ihnen, zu entscheiden, wie schwerwiegend der Angriff im Vergleich zur Menge des potenziell legitimen Datenverkehrs ist, den Sie verlieren könnten. Dabei können wir Ihnen nicht helfen.
BearbeitenWenn Sie es programmgesteuert erledigen möchten, ist Whois die richtige Adresse für Sie:
# Stackoverflow
whois 199.115.115.119 | grep -o "inetnum:.*"
# inetnum: 199.0.0.0 - 199.255.255.255