여러 웹사이트가 있는 서버를 검사(portentry로 감지)하는 IP를 자동으로 차단하고 싶습니다.
IP 범위를 금지하려면 어느 수준을 선택해야 할지 모르겠습니다. / 24, / 16 그 외? 어떤 수준부터 오탐(합법적인 트래픽 차단) 위험이 있나요?
예: 이 IP는 공격을 시도합니다: 100.100.100.100, 100.100.100.0/24 또는 100.100.0.0/16을 차단하면 위험합니까? 가장 적절한 수준은 무엇입니까?
답변1
단일 IP 주소를 차단하더라도 많은 합법적인 트래픽이 차단될 수 있습니다. 국가 전체가 단일 IP 주소를 공유하는 경우가 있었습니다. 2009년까지만 해도 82.148.97.69를 차단하면 수천 명의 사람들이 차단되었을 것입니다(때때로 보고되는 것처럼 카타르 전체는 아니었지만).
답변2
범죄자를 막으려는 경우 일반적으로 즉시 IP 차단을 금지하는 것이 좋습니다. 나는 그 이상으로 더 나아가지 않을 것이다.
예를 들어 내가 Vodaphone Australia로부터 공격을 받고 있다고 상상해 보세요.
- IP 주소가 202.142.xxx.yyy인 것으로 알고 있습니다.
- 나는이 유용한 사이트에 간다https://mxtoolbox.com/asn.aspxIP를 입력하고
- 202.142.136.0/21(2046개 호스트)을 차단해야 한다고 알려줍니다.
궁극적으로 공격이 얼마나 심각한지, 손실될 수 있는 합법적인 트래픽의 양을 결정하는 것은 사용자의 몫입니다. 우리는 그것을 도울 수 없습니다.
편집하다프로그래밍 방식으로 수행하려면 누가 다루었는지:
# Stackoverflow
whois 199.115.115.119 | grep -o "inetnum:.*"
# inetnum: 199.0.0.0 - 199.255.255.255