Frage Blockbereich von IP-Adressen


Ich werde mit versuchten Hacks aus China bombardiert, alle mit ähnlichen IPs.

Wie würde ich den IP-Bereich mit etwas wie 116.10.191. * Usw. blockieren

Ich benutze Ubuntu Server 13.10.

Die aktuelle Zeile, die ich verwende, ist:

sudo /sbin/iptables -A INPUT -s 116.10.191.207 -j DROP

Das lässt mich nur jeden auf einmal blockieren, aber die Hacker ändern die IPs bei jedem Versuch.


39
2018-04-29 16:15


Ursprung


Sie sollten sich fail2ban anschauen, es ist wirklich gut dynamisch störende IP Adressen zu verbannen. - Iain
Ich möchte auch Knockd hinzufügen, um praktisch 100% der fehlgeschlagenen Zugriffsversuche aus meinen Protokollen zu eliminieren. help.ubuntu.com/community/PortKnocking - Bruno Bronosky


Antworten:


Um 116.10.191 zu blockieren. * Adressen:

$ sudo iptables -A INPUT -s 116.10.191.0/24 -j DROP

Um 116.10. *. * -Adressen zu blockieren:

$ sudo iptables -A INPUT -s 116.10.0.0/16 -j DROP

Um 116 zu blockieren. *. *. * Adressen:

$ sudo iptables -A INPUT -s 116.0.0.0/8 -j DROP

Aber sei vorsichtig, was du mit dieser Methode blockierst. Sie möchten nicht verhindern, dass legitimer Datenverkehr den Host erreicht.

bearbeiten: Wie bereits erwähnt, wertet iptables Regeln in der Reihenfolge aus. Regeln, die im Regelsatz höher sind, werden vor Regeln angewendet, die im Regelsatz niedriger sind. Wenn also eine Regel höher in Ihrem Regelwerk ist, die diesen Verkehr erlaubt, dann hängtiptables -A) Die DROP-Regel wird nicht das beabsichtigte Blockierergebnis erzeugen. In diesem Fall (iptables -I) die Regel entweder:

  • als erste Regel

sudo iptables -I ...

  • oder vor der Zulassungsregel

sudo iptables --line-numbers -vnL

Sagen wir, dass die Regel Nummer 3 ssh-Verkehr erlaubt und Sie ssh für einen IP-Bereich blockieren wollen. -I nimmt ein Argument einer Ganzzahl, die die Position in Ihrem Regelsatz ist, in die die neue Regel eingefügt werden soll

iptables -I 2 ...


74
2018-04-29 16:18



Prüfen arin.de und Blockieren Sie die gesamte Palette der IP-Bereiche in Amsterdam. Dieser Ort ist RIPE mit Sondierungsspinnen - ich bezweifle, dass es irgendeinen legitimen Verkehr gibt, der dort herauskommt. - WEBjuju
Beachten Sie, dass dies möglicherweise nicht funktioniert Reihenfolge der iptable Regeln, siehe Antwort serverfault.com/a/507502/1 - Jeff Atwood
o snap @ JeffAtwood Ich fühle mich geehrt von Ihrem Kommentar. Antwort aktualisiert;) - Creek
Und wie entfesselst du einen bestimmten Bereich? - bzero


sudo /sbin/iptables -A INPUT -s 116.10.191.0/24 -j DROP

Dies blockiert die Reichweite. Sie können das Subnetz nach Bedarf mit demselben allgemeinen Format erweitern.


10
2018-04-29 16:18



Funktioniert das auf dem gesamten 4. Satz? Wie ist die 0/24 nur 0-24. Ich habe zum Beispiel 500 versucht, aber es hat nicht funktioniert. Will 0/24 alle anderen Zahlen in den 100ern und 200ern abdecken - Stephen Cioffi
@Stephen Es ist ein CIDR-Bereich. Wenn Sie es für einen anderen Bereich berechnen müssen, verwenden Sie Folgendes: subnet-calculator.com/cidr.php - Nathan C


Als Alternative könnten Sie etwas so einfaches wie fail2ban verwenden. Es führt eine Zeitüberschreitung für aufeinanderfolgende fehlgeschlagene Login-Versuche ein und macht Bruteforcing unmöglich, da sie pro Timeout nur ein paar Chancen bekommen. Ich stelle meine Auszeitlänge auf 30 Minuten ein. Wenn sie erst ein oder zwei Stunden sind, merken sie, dass sie nicht weiterkommen und aufgeben können.


2
2018-03-14 20:23



Außerdem kann die Sperrung ganzer Länder die autorisierte Verwendung verhindern. - Esa Jokinen
Ich realisiere, dass dieser Thread über ein Jahr alt ist, aber ich wollte die Leute etwas wissen lassen. Ich habe fail2ban installiert und laufe, aber ich überprüfe auch regelmäßig meine Serverprotokolle. Es gibt diesen IP-Bereich 89.248.x.xNach dem letzten Versuch versucht es den ganzen Tag über ungefähr eine Stunde lang verschiedene E-Mail-Logins. Anscheinend die findtime in Fail2Ban um 30 Minuten ist nicht mehr genug, um jedes böse Skript Kiddie zu halten. - Tanzeel Kazi