我想自動阻止掃描我的伺服器(使用 portsentry 檢測到)的 IP,其中有多個網站。
我不知道該選擇哪個等級來禁止 ip 範圍。 /24、/16 其他?誤報風險(合法流量被阻止)達到什麼程度?
範例:此IP嘗試攻擊:100.100.100.100,如果我阻止100.100.100.0/24或100.100.0.0/16有風險嗎?最適合的水平是多少?
答案1
即使封鎖單一 IP 位址也可以阻止大量合法流量。曾經有一段時間,整個國家共享一個 IP 位址。直到 2009 年,封鎖 82.148.97.69 就會封鎖數千人(儘管有時報道的並非整個卡達)。
答案2
如果您只是想阻止犯罪者,通常可以立即禁止 IP 封鎖。我不會比這更進一步。
例如,假設我受到澳洲沃達豐的攻擊
- 我知道 IP 位址是 202.142.xxx.yyy
- 我訪問這個有用的網站https://mxtoolbox.com/asn.aspx並輸入IP
- 它告訴我需要阻止 202.142.136.0/21(2046 個主機)
最終,由您決定攻擊的嚴重程度與您可能失去的潛在合法流量的數量。我們對此無能為力。
編輯如果您想以程式設計方式執行此操作,whois 可以滿足您的要求:
# Stackoverflow
whois 199.115.115.119 | grep -o "inetnum:.*"
# inetnum: 199.0.0.0 - 199.255.255.255