是否有任何类似于 fail2ban 的工具可以共享 IP 黑名单?我正在寻找类似于基于 DNS 的黑洞列表或实时黑洞列表的东西,用于阻止垃圾邮件的传播。但是我对垃圾邮件不太感兴趣,而是对攻击者进行端口扫描、密码猜测等行为感兴趣。我的服务器每天受到数百次攻击,如果有已知(可疑?)攻击者的列表,攻击者可以更快地被关闭。
答案1
这样的列表确实存在。或者说非常接近。例如:https://www.spamhaus.org/sbl/
但我的建议是不要依赖这些清单。
首先安装一个工具,例如失败2ban或者脑脊液+LFD在您的服务器上 - 如果您还没有这样做的话。那么违规 IP 地址将在防火墙级别被快速阻止。
当你的机器暴露在互联网上时,被扫描是常有的事。问题是,有些扫描活动是合法的,有些则是恶意的。并不是每个人都有相同的标准来定义什么是恶意活动。
例如,搜索引擎会定期扫描互联网上的 80/443 端口,以发现新的主机和网站进行索引等。这是完全合法的。一些主机会探测 FTP/SSH/telnet/Mysql/SQL 服务器等,或扫描所有 TCP/IP 端口。许多系统管理员不喜欢这种探测。但出于统计目的,它仍然是合法的。
了解 FTP 服务器、Gopher 或其他服务器的普及程度总是很有趣的。或者了解 Web 服务器软件供应商的各自市场份额。为了汇总这些数据,您必须进行扫描。
这也是一些托管数据库或敏感文件的保护不力的服务器被发现和报告的方式负责任的披露。
因此,我的标准是在扫描时表现出一些宽容,但限制请求。另一方面暴力攻击必须毫不留情地予以挫败。默认情况下脑脊液+LFD我相信 5 次 SSH 尝试失败后会禁止 IP 地址一小时。它还可以自动阻止端口扫描尝试。
您可以调整限制并创建自己的规则。
简而言之,我宁愿屏蔽真正发起攻击的 IP 地址我的服务器,然后根据可能不准确或不相关的二手名单进行决策。没有一个名单可以涵盖所有可能的攻击者。
答案2
是的,有这样的工具,但实际上你可以使用fail2ban。请参阅https://www.blocklist.de/en/。他们有一个 fail2ban 配置,其中还包括使用 badips.com
https://docs.danami.com/juggernaut/user-guide/ip-block-lists有指向其他可能允许用户贡献的列表的链接。
我不会使用它们,因为它们很容易被滥用。