中国的IP地址在我们的日志中显示为访问我们的一个调查,但是由于用户试图在调查的URL末尾添加一个string(就好像试图执行SQL注入攻击一样)而显得很突出。
由于whois查询IP地址来自中国,所以阻止整个IP范围似乎是实用的。 我们在香港有一个客户,但他们的调查针对的是新加坡,澳大拉西亚和美国的商业用户,而不是中国本身。
阻止IP地址还是保持打开状态会更好?
取决于,再次。
如果阻止IP,只是改变IP并不难。
如果你阻止了这个范围,那么你就会得到很多无法进入但是无辜的人的附带伤害。 不阻止很多人仍然阻止IP的国家范围。
如果您有一定数量的客户访问该网站…这是一个半私人数据库,仅用于订阅者等…您可以阻止访问所有接受白名单的部分只有网站。
否则,您需要不断更新,更新和更新,并定期由外部承包商对您的代码进行审核,以防止注入攻击和其他危害,并且可能在服务器上安装了Tripwire,以监视服务器上的可疑更改和更改保持良好的离线备份,超过几个站点有“实时”备份,一旦进入networking,突然被黑客入侵或删除)。
以我的经验阻止特定的网站和黑客的尝试是混乱的,并不一定能够阻止这个问题。 如果一遍又一遍的重复播放,你可以看看一个解决scheme,看你的网站有问题的砰地一声,并自动阻止一段时间(有点像SSH拒绝主机),所以这是一种短暂的,“已经够了”阻止你的系统永远混乱。 脚本化的攻击从左边的一天打到右侧,然后在右侧出现,你将最终以追逐你的尾巴的圆圈运行,试图阻止这些白痴。
确保你的服务器是安全的离开你的局域网,分割以防止黑客在该系统上污染你的networking的其余部分。 审计它。 观看日志中的可疑活动。 在路由器上阻塞真正有问题的IP(如拒绝服务攻击)。 否则…我的投票是,阻止他们是一件麻烦,除非你有一个自动的方式来跟踪它,并在一段时间后自动删除它的方式。
如果看起来不是机器人,你可以利用这个。 你可以build立另一个服务器的虚拟数据,redirect到基于源IP,并看着他们破解它。 正如Bart在“代码审计”中所说的,公司支付渗透testing费用。 所以如果黑客设法通过,你可以把这个提交给开发者,而你刚从黑客那里得到了免费的工作:-)
从来没有做过这个,但如果你有时间/资源,可能会很有趣…
上面给出的有关保护和监视服务器的许多替代解决scheme比单纯的禁止使用时间更好,特别是来自中国的IP。 所有主要的电信公司(实际上有两个,但我离题)提供宽带服务与dynamicIP为几乎所有家庭和中小型企业。 拔下并重新插入路由器只需切换到未被阻止的IP即可。
而且,在这样一个在互联网上有这种限制政策的国家,你可以肯定的是,任何懂得攻击或攻击服务器的人都很熟悉,而且很可能经常使用代理和其他隧道或中继方法并且几乎不受简单的知识产权禁令的影响,即使他们是从静态IP进行操作。
而且,在过去的X年里,在中国生活过,真的很烦人,试着装一个页面,被告知IP被阻止了,因为之前有一些知识产权的袋子没有什么比这更好的了。 阻止整个IP范围没有强烈支持的原因总是对我来说有点极端。
我不会手动阻止IP。 然而,我可能会设置一个fail2ban脚本,根据apache日志(假设你正在使用linux,替代你的操作系统和select的脚本),在短时间内以编程方式阻止用户的IP。 这不是完美的安全。 对于坏人来说,这会让生活变得困难一点,对自己来说花费很less。
我认为这是一个很好的做法,要定期审计你的日志 有些人甚至不这样做。
我同意这里的所有build议。 阻止IP可能不会受到伤害,但是你不能真正阻止某些机器人尝试从….连接的每一个IP。我试过了。 我想如果它不是一个机器人,然后阻止它。 也许它会发送一条消息。 你真的不能确定在另一端有什么资源。
我会说要小心注意你的日志(显然)。 确保您的机器已更新。 另外,确保你有一个备份,以防万一发生可怕的事情。
我个人的意见? 阻挡不会帮助!
基本上,当阻止IP成为公司政策,那么你会得到一个虚假的安全感,因为你认为你阻止了坏人。 现实? 坏家伙知道如何切换到其他系统,从而其他IP地址,而他们错误使用的IP地址将继续被阻止。 如果该IP地址碰巧与合法用户相关联,那么该用户将被阻止,而黑客只是使用另一个门进入您的网站。
不,如果黑客试图攻击你的网站,检查他是否成功进行了攻击。 尝试重播他的攻击,如果可能的话。 如果他成功了,你应该修补服务器上的漏洞,而不是阻止黑客。 说实话,黑客入侵可能对您的网站有用,以显示它的安全性。 如果你受到黑客攻击,那么你的安全性不够好,你应该责备自己的技术人员,而不是攻击你的黑客。
你不会阻止黑客通过阻止他们的IP地址。 迟早你会阻止一半的互联网…
我的政策是,如果源头造成性能问题或者设法实际find了漏洞(托pipe其他人的劣质网站有缺点),那么就会被封锁,否则就让他们把自己的小脑袋打飞了。
以下是一些指导方针:
你应该让你的互联网面向服务器更新,审核你的脚本,使用安全区域,监狱,chroots(如果适用),使用tripwire之类的东西来审核更改,也可能是一个跨越端口的IDS(由你决定发生什么事情的相关性很好,因为攻击者可能会淹没你的入侵防御系统,掩盖真实的攻击。)
阻止一个IP可能只是在真实的攻击情况下浪费时间。
希望这可以帮助。
如果永久禁止是你想要做的,那么你可以通过使用grep -a sshd /var/log/auth.log查看你的authentication日志来采取不同的策略来永久地阻止IP地址,以查看谁试图访问你的SSH。 很容易看到有人试图使用暴力,因为你可以看到他们将尝试使用一些常用的用户名,并试图连接到你的SSH一遍又一遍。 如果有人试图这样做,至less他们肯定是不行的,你可以继续前进,禁止他们。 这就是我们在服务器上所做的。
不要阻止来自另一个国家的整个IP地址,只是因为他们来自另一个国家,而且你不太在意。 这可能是种族主义。 至less,这与互联网这个开放的,基于同行的全球社区不符。
最好的做法是:
暂时阻止他们
通过以下方式了解哪些人对该networking的滥用行为负责:
whois the.abusers.ip.addr | grep -i abuse
通过电子邮件发送,清楚地表明您希望快速处理这个问题,或者将您的问题提交给他们的ISP。 此外,如果您拥有足够大/重要的networking/客户,则会阻止他们的整个RIPE分配。