IP 주소의 차단 범위


47

비슷한 IP를 가진 중국의 해킹 시도에 총격을 당하고 있습니다.

116.10.191. * 등으로 IP 범위를 어떻게 차단합니까?

Ubuntu Server 13.10을 실행 중입니다.

현재 사용중인 라인은 다음과 같습니다

sudo /sbin/iptables -A INPUT -s 116.10.191.207 -j DROP

이렇게하면 한 번에 하나씩 만 차단할 수 있지만 해커는 시도 할 때마다 IP를 변경합니다.


4
fail2ban을 살펴보면 방해 IP 주소를 동적으로 금지하는 것이 좋습니다.
user9517은 GoFundMonica

또한 로그에서 실패한 액세스 시도의 거의 100 %를 제거하기 위해 knocked를 추가하고 싶습니다. help.ubuntu.com/community/PortKnocking
Bruno Bronosky

pam_shield가 도움이 될 수 있습니다. github.com/jtniehof/pam_shield
다니엘

답변:


85

116.10.191. * 주소를 차단하려면 :

$ sudo iptables -A INPUT -s 116.10.191.0/24 -j DROP

116.10. *. * 주소를 차단하려면

$ sudo iptables -A INPUT -s 116.10.0.0/16 -j DROP

116. *. *. * 주소를 차단하려면 :

$ sudo iptables -A INPUT -s 116.0.0.0/8 -j DROP

그러나이 방법을 사용하여 차단하는 것을주의하십시오. 합법적 인 트래픽이 호스트에 도달하는 것을 방지하고 싶지 않습니다.

편집 : 지적했듯이 iptables는 규칙을 순차적으로 평가합니다. 규칙 세트에서 상위 규칙은 규칙 세트에서 하위 규칙보다 먼저 적용됩니다. 따라서 규칙 세트에 해당 트래픽을 허용하는 규칙이 더 높은 iptables -A경우 DROP 규칙 을 추가 하면 의도 된 차단 결과가 생성되지 않습니다. 이 경우 iptables -I규칙 중 하나를 삽입 ( )하십시오.

  • 첫 번째 규칙으로

sudo iptables -I ...

  • 또는 허용 규칙 이전

sudo iptables --line-numbers -vnL

규칙 번호 3에 ssh 트래픽이 허용되고 ip 범위에 대해 ssh를 차단하려고합니다. -I새 규칙을 삽입하려는 규칙 세트의 위치 인 정수의 인수를 사용합니다.

iptables -I 2 ...


arin.net을 확인 하고 암스테르담 소유의 IP 범위 전체를 차단하십시오 . 그 장소는 프로빙 거미가 달린 RIPE입니다. 거기에서 합법적 인 트래픽이 나오는지 의심됩니다.
WEBjuju

iptable 규칙순서에 따라 작동하지 않을 수도 있습니다. answer serverfault.com/a/507502/1
Jeff Atwood

2
o Snap @JeffAtwood 귀하의 의견에 영광입니다. 답변 업데이트;)
Creek

특정 범위를 어떻게 차단 해제합니까?
bzero

11

sudo /sbin/iptables -A INPUT -s 116.10.191.0/24 -j DROP

범위를 차단합니다. 필요에 따라 동일한 일반 형식으로 서브넷을 확장 할 수 있습니다.


이것이 전체 4 번째 설정 범위에서 작동합니까? 0/24 만 0-24입니다. 예를 들어 500을 시도했지만 작동하지 않았습니다. 0/24는 100 년대와 200 년대의 다른 모든 숫자를 다룰 것입니다
Stephen Cioffi

3
@Stephen CIDR 범위입니다. 다른 범위에 대해 계산해야하는 경우 다음을 사용하십시오. subnet-calculator.com/cidr.php
Nathan C

4

대체 방법으로 fail2ban과 같은 간단한 것을 사용할 수 있습니다. 연속적인 실패한 로그인 시도에 대한 시간 초과를 설정하고 시간 초과 당 몇 번의 기회 만 얻기 때문에 무차별 실행을 불가능하게합니다. 시간 제한을 30 분으로 설정했습니다. 한두 시간이 지나면 그들은 앞으로 나아갈 수 없다는 것을 깨닫습니다.


또한, 국가 전체를 차단하면 허가 된 사용을 방해 할 수 있습니다.
Esa Jokinen

이 스레드는 1 년이 넘은 것을 알고 있지만 사람들에게 무언가를 알리고 싶었습니다. fail2ban이 설치되어 실행 중이지만 정기적으로 서버 로그도 확인합니다. 이 IP 범위 89.248.x.x는 하루 종일 마지막 시도로부터 약 1 시간 후에 다른 이메일 로그인을 계속 시도합니다. 분명히 findtimefail2ban을 30 분으로 유지하는 것만으로는 더 이상 모든 불쾌한 대본을 키울 수 없습니다.
Tanzeel Kazi
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.