IP Adreslerinin blok aralığı

47

Tüm benzer IP’ler ile Çin’den gelen saldırı girişimleriyle bombalanıyorum.

IP aralığını 116.10.191. * Vb. İle nasıl engellerim?

Ubuntu Server 13.10 kullanıyorum.

Kullandığım mevcut satır:

sudo /sbin/iptables -A INPUT -s 116.10.191.207 -j DROP

Bu sadece bir seferde her birini engellememe izin veriyor, ancak bilgisayar korsanları her denemede IP'leri değiştiriyor.

ubuntu  iptables  ip  ip-address  hacking 
Stephen Cioffi
kaynak
4
fail2ban'a bir göz atmalısınız, rahatsız edici IP adreslerini dinamik olarak yasaklamak gerçekten iyi.
user9517 GoFundMonica'yı
Ayrıca günlüklerimdeki başarısız erişim denemelerinin neredeyse% 100'ünü ortadan kaldırmak için knockd eklemek istiyorum. help.ubuntu.com/community/PortKnocking
Bruno Bronosky
pam_shield burada yardımcı olabilir. github.com/jtniehof/pam_shield
Daniel

Yanıtlar:

85

116.10.191. * Adreslerini engellemek için:

$ sudo iptables -A INPUT -s 116.10.191.0/24 -j DROP

116.10. *. * Adreslerini engellemek için:

$ sudo iptables -A INPUT -s 116.10.0.0/16 -j DROP

116. *. *. * Adreslerini engellemek için:

$ sudo iptables -A INPUT -s 116.0.0.0/8 -j DROP

Ancak bu yöntemi kullanarak neyi engellediğinize dikkat edin. Yasal dostluk trafiğinin ana bilgisayara ulaşmasını engellemek istemezsiniz.

edit : belirtildiği gibi, iptables kuralları sırayla değerlendirir. Kural kümesindeki daha yüksek kurallar, kural kümesindeki daha düşük kurallardan önce uygulanır. Bu nedenle, kural kümenizde söz konusu trafiğe izin veren daha yüksek bir kural varsa, o zaman ( iptables -A) DROP kuralı hedeflenen engelleme sonucunu üretmez. Bu durumda, iptables -Ikuralı ya da (:

  • ilk kural olarak

sudo iptables -I ...

  • veya izin verme kuralından önce

sudo iptables --line-numbers -vnL

3 numaralı kuralın ssh trafiğine izin verdiğini ve ssh’yi bir ip aralığı için engellemek istediğinizi -Iyeni kuralın eklenmesini istediğiniz, kural kümenizdeki konumun tamsayı argümanını alır.

iptables -I 2 ...

dere
kaynak
Kontrol arin.net ve Amsterdam aralıkları ip ait tüm aralığı engellemek . Orası, araştırma yapan örümceklerin bulunduğu RIPE - oradan çıkan meşru bir trafik olduğundan şüpheliyim.
WEBjuju
bunun iptable kuralların sırasına bağlı olarak çalışmayabileceğini unutmayın , bkz. answer serverfault.com/a/507502/1
Jeff Atwood
2
o snap @JeffAtwood Yorumunuzdan onur duyuyorum. Cevap güncellendi;)
Creek
Ve belli bir aralığın engelini nasıl kaldırıyorsunuz?
07:18 bzero
11

sudo /sbin/iptables -A INPUT -s 116.10.191.0/24 -j DROP

Bu, menzili bloke eder. Alt ağı, aynı genel formatta gerektiği gibi genişletebilirsiniz.

Nathan C
kaynak
4. setin tamamında bu çalışacak mı? 0/24 gibi sadece 0-24. Örneğin 500 denedim ama işe yaramadı. 0/24, 100'li ve 200'li yıllardaki diğer tüm rakamları kapsayacak mı
Stephen Cioffi,
3
@Stephen Bir CIDR aralığı. Farklı bir aralık için hesaplamanız gerekiyorsa, şunu kullanın: subnet-calculator.com/cidr.php
Nathan C
4

Alternatif bir yaklaşım olarak fail2ban kadar basit bir şey kullanabilirsiniz. Ardışık başarısız oturum açma girişimleri için bir zaman aşımı süresi başlatır ve zaman aşımı başına yalnızca birkaç şansı bulunduğundan bruteforcing'i olanaksız kılar. Zaman aşımı süresini 30 dakikaya ayarladım. Bir ya da iki saat içinde çalıştıkları zaman, herhangi bir yol izleyemeyeceklerini ve vazgeçemeyeceklerini fark ettiler.

Temet
kaynak
Ayrıca, bütün ülkelerin engellenmesi, yetkili kullanımı engelleyebilir.
Esa Jokinen
Bu konunun bir yaşından büyük olduğunun farkındayım ama insanlara bir şey bildirmek istedim. Ben fail2ban yüklü ve çalışıyor ama düzenli olarak sunucu günlüklerimi de kontrol ediyorum. 89.248.x.xGün boyunca, son denemeden bir saat sonra farklı e-posta girişlerini denemeye devam eden bu IP aralığı var. Görünüşe göre findtimein fail2ban'ı 30mins'de tutmak artık her kötü senaryo kiddie'sini dışarıda tutmak için yeterli değil.
Tanzeel Kazi,
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.