我想自动阻止扫描我的服务器(使用 portsentry 检测)的 IP,其中有多个网站。
我不知道该选择哪个级别来禁止 IP 范围。/ 24、/ 16 等?从哪个级别开始存在误报风险(阻止合法流量)?
例如:这个 IP 尝试攻击:100.100.100.100,如果我阻止 100.100.100.0/24 或 100.100.0.0/16 是否有风险?最合适的级别是多少?
答案1
即使封锁一个 IP 地址也会阻止大量合法流量。曾经有过整个国家共用一个 IP 地址的情况。直到 2009 年,封锁 82.148.97.69 也会阻止数千人(尽管有时报道说不是整个卡塔尔)。
答案2
如果你只是想阻止违规者,通常直接封禁 IP 就足够了。我不会做更多。
例如,想象一下我正受到澳大利亚沃达丰的攻击
- 我知道 IP 地址是 202.142.xxx.yyy
- 我去了这个有用的网站https://mxtoolbox.com/asn.aspx并输入 IP
- 它告诉我需要阻止 202.142.136.0/21(2046 个主机)
最终,由您来决定攻击的严重程度以及您可能损失的潜在合法流量量。我们对此无能为力。
编辑如果你想通过编程来做到这一点,whois 可以满足你的要求:
# Stackoverflow
whois 199.115.115.119 | grep -o "inetnum:.*"
# inetnum: 199.0.0.0 - 199.255.255.255