Quero bloquear automaticamente o IP que verifica meu servidor (detectado com portsentry) onde estão vários sites.
Não sei qual nível escolher para banir os intervalos de IP. / 24, / 16 outros? A partir de que nível existe o risco de falsos positivos (tráfego legítimo bloqueado)?
Exemplo: este IP tenta um ataque: 100.100.100.100, se eu bloquear 100.100.100.0/24 ou 100.100.0.0/16 é arriscado? Qual é o nível mais adequado?
Responder1
Até mesmo o bloqueio de um único endereço IP pode bloquear muito tráfego legítimo. Houve momentos em que um país inteiro compartilhava um único endereço IP. Ainda em 2009, o bloqueio de 82.148.97.69 teria bloqueado milhares de pessoas (embora não todo o Qatar, como por vezes é relatado).
Responder2
Se você está apenas tentando impedir o infrator, normalmente será bom banir o bloqueio imediato de IP. Eu não iria muito além disso.
Por exemplo, imagine que estou sendo atacado pela Vodaphone Austrália
- Eu sei que o endereço IP é 202.142.xxx.yyy
- Eu vou para este site útilhttps://mxtoolbox.com/asn.aspxe digite o IP
- Isso me diz que preciso bloquear 202.142.136.0/21 (2.046 hosts)
Em última análise, cabe a você decidir a gravidade do ataque em comparação com a quantidade de tráfego legítimo potencial que você pode perder. Não podemos ajudar com isso.
EditarSe você quiser fazer isso programaticamente, whois o ajudará:
# Stackoverflow
whois 199.115.115.119 | grep -o "inetnum:.*"
# inetnum: 199.0.0.0 - 199.255.255.255