Я хочу автоматически блокировать IP-адреса, сканирующие мой сервер (обнаруживаемые с помощью Portsentry), на котором размещено несколько веб-сайтов.
Не знаю, какой уровень выбрать для запрета диапазонов IP. / 24, / 16 и т. д. С какого уровня есть риск ложных срабатываний (блокируется легитимный трафик)?
Пример: этот IP пытается атаковать: 100.100.100.100, если я заблокирую 100.100.100.0/24 или 100.100.0.0/16, это рискованно? Какой уровень наиболее подходящий?
решение1
Даже блокировка одного IP-адреса может заблокировать много законного трафика. Были времена, когда целая страна имела один IP-адрес. Еще в 2009 году блокировка 82.148.97.69 заблокировала бы тысячи людей (хотя и не весь Катар, как иногда сообщают).
решение2
Если вы просто хотите остановить нарушителя, то обычно достаточно немедленно заблокировать IP. Я бы не стал заходить слишком далеко.
Например, представьте, что на меня нападает Vodaphone Australia.
- Я знаю, что IP-адрес 202.142.xxx.yyy
- Я захожу на этот полезный сайтhttps://mxtoolbox.com/asn.aspxи введите IP
- Мне говорят, что нужно заблокировать 202.142.136.0/21 (2046 хостов)
В конечном счете, вам решать, насколько серьезна атака по сравнению с объемом потенциального легитимного трафика, который вы можете потерять. Мы не можем помочь с этим.
РедактироватьЕсли вы хотите сделать это программно, то whois вам поможет:
# Stackoverflow
whois 199.115.115.119 | grep -o "inetnum:.*"
# inetnum: 199.0.0.0 - 199.255.255.255