http-host 헤더 별 mod_security 블록 요청


16

지난 며칠 동안 알 수없는 요청으로 일부 서버가 망치는 것을 발견했습니다.

그들 대부분은 다음과 같습니다.

60.246.*.* - - [03/Jan/2015:20:59:16 +0200] "GET /announce.php?info_hash=%80%85%8e%9bu%cfJ.%85%82%e9%25%bf%8e%9e%d7%bf%c5%b0%12&peer_id=-UT3420-v%8bN%aa%60%60%fd%5d%d1%b0Ux&port=15411&uploaded=48588531&downloaded=0&left=0&corrupt=0&key=9E124668&numwant=200&compact=1&no_peer_id=1 HTTP/1.1" 200 -

로깅 및 검색을 조금 후 나는 (whatsmydns.net의 결과에 따라 아마 CERNET) 일부 중국 ISP와 터키의 ISP가 (아마 TTNET) DNS 응답은 같은 쿼리 것을 발견 a.tracker.thepiratebay.orgpiratebay와는 아무 상관이없는 다양한 IP를 또는 급류. 다시 말해 그들은 기괴한 이유로 일종의 DNS 캐시 중독을하는 것 같습니다.

따라서 해당 국가의 수백 (수천이 아닌 경우)의 비트 토 런트 클라이언트가 웹 서버에 수많은 '발표'를하여 DDoS 공격으로 인해 모든 Apache 연결이 채워집니다.

현재 중국과 터키를 모두 차단했으며 업무를 수행하지만 이러한 요청을 차단하는 더 좋은 방법을 찾고 싶습니다.

HTTP 호스트 헤더를 기반으로 mod_security로 요청을 차단하려고했습니다.

이러한 모든 요청에는 HTTP Host 헤더 a.tracker.thepiratebay.org(또는 thepiratebay.org 도메인의 다른 많은 하위 도메인)가 포함됩니다.

다음은 PHP $_SERVER변수 를 통한 요청 헤더 덤프입니다 .

DOCUMENT_ROOT: /usr/local/apache/htdocs
GATEWAY_INTERFACE: CGI/1.1
HTTP_ACCEPT_ENCODING: gzip
HTTP_CONNECTION: Close
HTTP_HOST: a.tracker.thepiratebay.org
HTTP_USER_AGENT: uTorrent/342(109415286)(35702)
PATH: /bin:/usr/bin
QUERY_STRING: info_hash=%80%85%8e%9bu%cfJ.%85%82%e9%25%bf%8e%9e%d7%bf%c5%b0%12&peer_id=-UT3420-v%8bN%aa%60%60%fd%5d%d1%b0Ux&port=15411&uploaded=48588531&downloaded=0&left=0&corrupt=0&key=9E124668&numwant=200&compact=1&no_peer_id=1
REDIRECT_STATUS: 200
REMOTE_ADDR: 60.246.*.*
REMOTE_PORT: 3445
REQUEST_METHOD: GET
REQUEST_URI: /announce.php?info_hash=%80%85%8e%9bu%cfJ.%85%82%e9%25%bf%8e%9e%d7%bf%c5%b0%12&peer_id=-UT3420-v%8bN%aa%60%60%fd%5d%d1%b0Ux&port=15411&uploaded=48588531&downloaded=0&left=0&corrupt=0&key=9E124668&numwant=200&compact=1&no_peer_id=1
SCRIPT_FILENAME: /usr/local/apache/htdocs/announce.php
SCRIPT_NAME: /announce.php
SERVER_ADDR: *.*.*.*
SERVER_ADMIN: *@*.*
SERVER_NAME: a.tracker.thepiratebay.org
SERVER_PORT: 80
SERVER_PROTOCOL: HTTP/1.1
SERVER_SIGNATURE: 
SERVER_SOFTWARE: Apache/2.2.29 (Unix) mod_ssl/2.2.29 OpenSSL/1.0.1e-fips mod_bwlimited/1.4 mod_perl/2.0.8 Perl/v5.10.1
UNIQUE_ID: VKg8BJBMIPQAD01XYzgAAAAD
PHP_SELF: /announce.php
REQUEST_TIME_FLOAT: 1420311556.43
REQUEST_TIME: 1420311556
argv: Array
argc: 1

그래서 내 질문은 요청 도메인 (HTTP 호스트 헤더)을 기반으로 Apache로 들어오는 요청을 어떻게 차단할 수 있습니까? 요청은 /announce.php뿐만 아니라 다양한 URL에 있으므로 URL로 차단하는 것은 유용하지 않습니다.

또한 그 접근 방식이 실행 가능한지 또는 너무 많은로드를 유발합니까? 아파치에 도달하기 전에 해당 요청을 계속 삭제해야합니까?

최신 정보:

이 문제는 전 세계 많은 국가의 많은 사람들에게 영향을 미쳤습니다.
이에 대한 수많은 보고서와 블로그 게시물과이 트래픽을 차단하는 다양한 솔루션이 있습니다.

여기에 오는 사람이 솔루션을 검색하여이를 차단할 수 있도록 일부 보고서를 수집했습니다.

신비한 중국 트래픽 : HTTP 요청에 사용 된 DNS 서버를 어떻게 알 수 있습니까?
내 서버에 이상한 비트 토렌트 로그온
http://blog.devops.co.il/post/108740168304/torrent-ddos-attack
https://www.webhostingtalk.com/showthread.php?t=1443734
http : // torrentfreak. com / zombie-pirate-bay-tracker-fuels-chinese-ddos-attacks-150124 /
https://isc.sans.edu/forums/diary/Are+You+Piratebay+thepiratebayorg+Resolving+to+Various+Hosts/ 19175 /
http://furbo.org/2015/01/22/fear-china/
http://www.jwz.org/blog/2015/01/chinese-bittorrent-the-gift-that-keeps-on- 기부/


1
이와 비슷한 문제가 발생하여 요청을 차단했지만 어떤 ISP가 잘못된 IP 주소를 반환하는지 어떻게 알았는지 궁금합니다. 요청이되도록에서 오는 것은 시작점 좋은 것 같아 어디 있는지 알아내는 관심
포고

whatsmydns.net 및 기타 glbal dns 전파 검사기에 따르면 중국의 CERNET 및 CPIP 및 터키의 TTNET은 thepiratebay.org의 다양한 하위 도메인에 대한 쿼리가 해당 도메인이 지구상의 다른 ISP에서 해석되지 않는 경우 다양한 IP에 대한 쿼리에 응답합니다.
Cha0s

2
나는 똑같은 것을 얻었고 그것을 발견했을 때와 거의 동시에 시작되었습니다. 페이스 북, 비트 토렌트, 포르노 사이트. 그러나 가장 주목할만한 것은이 끊임없는 해적만이 발표하는 것입니다. serverfault.com/questions/658433/… nginx를 사용하고 있으며 호스트가 일치하지 않으면 444를 반환했습니다.
felix

발표 요청은 상당히 줄었습니다. 일시적인 DNS 구성 오류 일 수 있습니다. 아직도 교통 체증이 있습니까?
felix jan

2
솔직히 말해서 나는 방화벽 수준에서 결국 중국을 차단했습니다. 왜냐하면 mod_security를 ​​사용하더라도 모든 Apache의 연결을 채울 수 있기 때문입니다. 그래서 요청이 줄어들 었는지 알지 못했습니다.
Cha0s

답변:


7

여기서도 같은 문제입니다. 사용자 에이전트를 차단하기 위해 mod_security를 ​​사용하고 있습니다.

SecRule REQUEST_HEADERS:User-Agent "Bittorrent" "id:10000002,rev:1,severity:2,log,msg:'Bittorrent Hit Detected'"

로그 파일이 가득 차지 않도록 로그가 작동하는지 확인한 후 로그를 nolog로 변경합니다.

SecRule REQUEST_HEADERS:User-Agent "Bittorrent" "id:10000002,rev:1,severity:2,nolog,msg:'Bittorrent Hit Detected'"

1
내가 정확히 필요한 것은 아니지만, 당신의 대답은 올바른 방향으로 나를 이끌었습니다. 그래서 나는 당신을 올바른 것으로 선택했습니다. REQUEST_URI의 '? info_hash ='문자열을 일치시켜 모든 토런트 요청을 차단했습니다. 클라이언트가 서로 다른 UA와 함께 다양한 비트 토렌트 클라이언트를 사용하기 때문에 User-Agent가 최선의 방법이 아니 었습니다. 내가 끝내는 최종 mod_security 규칙은 다음과 같습니다.SecRule REQUEST_URI "\?info_hash\=" "id:10000002,rev:1,severity:2,nolog,msg:'Torrent Announce Hit Detected'"
Cha0s

dig a.tracker.thepiratebay.org이 목록 public-dns.tk/nameserver/cn.html의 DNS 서버에서 연결을 시도하면 요청마다 다른 답변이 있습니다. 동일에 대한 tracker.thepiratebay.org또한 우리의 호스트에 출연 : 헤더. viewdns.info/research/… 에 대한 추가 정보가있는 게시물이 있습니다. viewdns.info/reverseip을 사용하여 반환 된 주소 중 일부를 뒤집으려고하면 거의 무작위임을 알 수 있습니다.
Evgeny

5

고객의 사이트 중 하나와 정확히 같은 문제가 발생했습니다. 나는 그들의 상단에 다음을 추가했습니다.

# Drop Bittorrent agent 2015-01-05 before redirect to https
<IfModule mod_rewrite.c>
    RewriteEngine on
    # RewriteCond %{HTTP_USER_AGENT} =Bittorrent
    RewriteRule ^/announce$ - [F]
    RewriteRule ^/announce\.php$ - [F]
</IfModule>

주석 처리 된 RewriteCond는 주석을 해제하여 특정 사용자 에이전트 만 차단할 수 있습니다. 그러나 그들은 announce 또는 announce.php에 내용이 없으므로 모든 것을 차단했습니다.


고맙지 만 mod_rewrite가 아닌 mod_security를 ​​사용하는 솔루션이 필요했습니다.
Cha0s

더 나은 방법 은 engineering.bittorrent.com/2015/01/29/…(F/403 대신 G / 410 및 명시적인 ErrorDocument)를 참조하십시오
ysth

5

현재 토런트 추적기가 내 서버를 가리 키도록 동일한 문제가 있습니다. 지난 며칠 동안 iptables를 실험하고 요청의 헤더와 패턴을 검사하여 최근에 아시아 (중국, 말레이시아, 일본 및 홍콩).

다음은 규칙입니다. 그것이 누군가를 돕기를 바랍니다.

iptables -I INPUT -p tcp --dport 80 -m string --algo bm --string "Bittorrent" --to 1000 -j REJECT
iptables -I INPUT -p tcp --dport 80 -m string --algo bm --string "spider" --to 1000 -j REJECT
iptables -I INPUT -p tcp --dport 80 -m string --algo bm --string "announce" --to 1000 -j REJECT
iptables -I INPUT -p tcp --dport 80 -m string --algo bm --string "deviantart" --to 1000 -j REJECT
iptables -I INPUT -p tcp --dport 80 -m string --algo bm --string "Bittorrent" --to 1000 -j REJECT
iptables -I INPUT -p tcp --dport 80 -m string --algo bm --string "baidu" --to 1000 -j REJECT
iptables -I INPUT -p tcp --dport 80 -m string --algo bm --string "Baiduspider" --to 1000 -j REJECT

좋은! 나는 그것을 생각하지 않았다! 감사! : D 특정한 이유로 REJECT대신에 선택 했습니까 DROP? (예 : 고객에게 REJECT?를 받은 후 중지 될 수 있음 )
Cha0s

1
예, REJECT는이 경우 도움이되지 않는 것처럼 보이지만 클라이언트에게 해당 리소스 요청을 중지하도록 지시해야합니다. 여전히 필터링하여 일부 클라이언트가 힌트를 얻기를 기대하면서 거부합니다. 어쨌든 iptables는이 작업에서 mod_security보다 훨씬 잘 수행되어야하므로 잘 작동하기를 바랍니다.
Franci

그렇습니다! 중국어 접두사를 모두 차단하고있었습니다. 나는 더 나은이 접근법을 시도 할 것이다 :) 나는 비트 토 런트 클라이언트가 REJECT로 다시 시도하는 것을 멈추지 않을 것이라고 생각합니다. 그들은 '연결이 거부되었습니다'라고보고 잠시 후에 다시 시도합니다. DROP이 더 나은 접근 방법이라고 생각합니다 (그리고 더 적은 리소스를 사용합니다. 추가 처리없이 일치하는 순간에 패킷을 삭제합니다)
Cha0s

1
그 차이는 극단적 인 경우를 제외하고는 실제로 무시할 수있는 것이었고, 결국에는 트래픽을 막는 것이 희망이었습니다. 다이얼 다운되지 않으면 DROP으로 변경합니다. 나는 왜 이것이 어떻게 발생했는지에 대해 매우 궁금합니다. 중국의 Great Firewall of random이 임의의 IP로 리디렉션되는 것에 대한 토론이 있지만 여기서는 그렇지 않습니다.
FRANCI

1
+1 좋은 것. 우리는 실제 요청 --string "GET /announce"을 다루기 위해 갈 것입니다 .
Linus Kleen

5

나는 Dan이 한 것과 비슷하지만 nginx를 사용하여 BitTorrent 고객들에게 절대로 돌아 가지 말라고 절대로 말하는 방법에 대한 블로그 게시물을 작성했습니다.

server {
    location /announc {
        access_log off;
        error_log off;
        default_type text/plain;
        return 410 "d14:failure reason13:not a tracker8:retry in5:nevere";
    }
}

토렌트 트래커는 일반적으로 /announce또는로 시작하는 표준 URL을 가지고 /scrape있으므로 URL로 필터링하는 것을 너무 빨리 닫지 않습니다. 효과가있다.

전체 게시물은 http://dvps.me/ddos-attack-by-torrent에 있습니다.


1
재미있는 글입니다. 공유해 주셔서 감사합니다 :) 그러나 DNS Cache Poisoning중국의 CERNET이 임의의 비 중국어 IP를 사용하여 TPB 도메인에 대응하기 때문에 공격에 의한 것으로 생각 됩니다. AFAIK PEX는 트래커가 아닌 동료를 공유하기위한 것입니다. 더 자세히 설명하거나 문서를 제공 할 수 있습니까?
Cha0s

bittorrent.org/beps/bep_0028.html 여기에 설명 된 트래커 공유를위한 확장이 있습니다 . 하지만 당신은 그에서 올바른 '호스트'이 모든 요청에 대한 헤더는 a.tracker.thepiratebay.orgtracker.thepiratebay.org이는이거나 이러한 클라이언트의 실제 대상이되지 않을 수 있습니다. 그것은 또한 중국의 고문으로 스스로를 가리는 가짜 고객이 될 수 있습니다 :)
Evgeny

1
bittorrent 사람들은 404 대신 410을 제안합니다 : engineering.bittorrent.com/2015/01/29/…
ysth February

0

http://www.wizcrafts.net/chinese-blocklist.html 에서 중국어 IP 범위를 가져 와서 내 csf 방화벽에서 차단했습니다. 다음은 복사하여 csf의 거부 IP 목록에 붙여 넣기를 원하는 경우의 범위입니다. :

#china blocks start
1.80.0.0/13
1.92.0.0/14
1.192.0.0/13
1.202.0.0/15
1.204.0.0/14
14.144.0.0/12
14.208.0.0/12
23.80.54.0/24
23.104.141.0/24
23.105.14.0/24
27.8.0.0/13
27.16.0.0/12
27.36.0.0/14
27.40.0.0/13
27.50.128.0/17
27.54.192.0/18
27.106.128.0/18
27.115.0.0/17
27.148.0.0/14
27.152.0.0/13
27.184.0.0/13
36.32.0.0/14
36.248.0.0/14
42.96.128.0/17
42.120.0.0/15
58.16.0.0/15
58.20.0.0/16
58.21.0.0/16
58.22.0.0/15
58.34.0.0/16
58.37.0.0/16
58.38.0.0/16
58.40.0.0/16
58.42.0.0/16
58.44.0.0/14
58.48.0.0/13
58.56.0.0/15
58.58.0.0/16
58.59.0.0/17
58.60.0.0/14
58.68.128.0/17
58.82.0.0/15
58.100.0.0/15
58.208.0.0/12
58.242.0.0/15
58.246.0.0/15
58.248.0.0/13
59.32.0.0/12
59.51.0.0/16
59.52.0.0/14
59.56.0.0/13
59.72.0.0/16
59.108.0.0/15
59.172.0.0/14
60.0.0.0/13
60.11.0.0/16
60.12.0.0/16
60.24.0.0/13
60.160.0.0/11
60.194.0.0/15
60.208.0.0/13
60.216.0.0/15
60.220.0.0/14
61.4.64.0/20
61.4.80.0/22
61.4.176.0/20
61.48.0.0/13
61.128.0.0/10
61.135.0.0/16
61.136.0.0/18
61.139.0.0/16
61.145.73.208/28
61.147.0.0/16
61.150.0.0/16
61.152.0.0/16
61.154.0.0/16
61.160.0.0/16
61.162.0.0/15
61.164.0.0/16
61.175.0.0/16
61.177.0.0/16
61.179.0.0/16
61.183.0.0/16
61.184.0.0/16
61.185.219.232/29
61.187.0.0/16
61.188.0.0/16
61.232.0.0/14
61.236.0.0/15
61.240.0.0/14
101.64.0.0/13
101.72.0.0/14
101.76.0.0/15
101.80.0.0/12
103.253.4.0/22
106.112.0.0/13
110.6.0.0/15
110.51.0.0/16
110.52.0.0/15
110.80.0.0/13
110.88.0.0/14
110.96.0.0/11
110.173.0.0/19
110.173.32.0/20
110.173.64.0/18
110.192.0.0/11
110.240.0.0/12
111.0.0.0/10
111.72.0.0/13
111.121.0.0/16
111.128.0.0/11
111.160.0.0/13
111.172.0.0/14
111.176.0.0/13
111.228.0.0/14
112.0.0.0/10
112.64.0.0/14
112.80.0.0/12
112.100.0.0/14
112.111.0.0/16
112.122.0.0/15
112.224.0.0/11
113.0.0.0/13
113.8.0.0/15
113.12.0.0/14
113.16.0.0/15
113.18.0.0/16
113.62.0.0/15
113.64.0.0/10
113.128.0.0/15
113.136.0.0/13
113.194.0.0/15
113.204.0.0/14
114.28.0.0/16
114.80.0.0/12
114.96.0.0/13
114.104.0.0/14
114.112.0.0/14
112.109.128.0/17
114.216.0.0/13
114.224.0.0/11
115.24.0.0/15
115.28.0.0/15
115.32.0.0/14
115.48.0.0/12
115.84.0.0/18
115.100.0.0/15
115.148.0.0/14
115.152.0.0/15
115.168.0.0/14
115.212.0.0/16
115.230.0.0/16
115.236.96.0/23
115.236.136.0/22
115.239.228.0/22
116.1.0.0/16
116.2.0.0/15
116.4.0.0/14
116.8.0.0/14
116.16.0.0/12
116.52.0.0/14
116.76.0.0/15
116.90.80.0/20
116.112.0.0/14
116.128.0.0/10
116.204.0.0/15
116.208.0.0/14
116.224.0.0/12
116.254.128.0/18
117.8.0.0/13
117.21.0.0/16
117.22.0.0/15
117.24.0.0/13
117.32.0.0/13
117.40.0.0/14
117.44.0.0/15
117.60.0.0/14
117.79.224.0/20
117.80.0.0/12
117.136.0.0/13
118.26.0.0/16
118.72.0.0/13
118.112.0.0/13
118.120.0.0/14
118.132.0.0/14
118.144.0.0/14
118.180.0.0/14
118.186.0.0/15
118.192.0.0/15
118.248.0.0/13
119.0.0.0/13
119.8.0.0/16
119.10.0.0/17
119.18.192.0/20
119.36.0.0/16
119.57.0.0/16
119.60.0.0/16
119.88.0.0/14
119.96.0.0/13
119.112.0.0/13
119.120.0.0/13
119.128.0.0/12
119.144.0.0/14
119.164.0.0/14
119.176.0.0/12
119.233.0.0/16
120.0.0.0/12
120.24.0.0/14
120.32.0.0/13
120.40.0.0/14
120.68.0.0/14
120.80.0.0/13
120.192.0.0/10
121.0.16.0/20
121.8.0.0/13
121.16.0.0/12
121.32.0.0/14
121.60.0.0/14
121.76.0.0/15
121.196.0.0/14
121.204.0.0/14
121.224.0.0/12
122.10.128.0/17
122.51.128.0/17
122.64.0.0/11
122.119.0.0/16
122.136.0.0/13
122.156.0.0/14
122.188.0.0/14
122.192.0.0/14
122.198.0.0/16
122.200.64.0/18
122.224.0.0/12
123.4.0.0/14
123.8.0.0/13
123.52.0.0/14
123.64.0.0/11
123.97.128.0/17
123.100.0.0/19
123.112.0.0/12
123.128.0.0/13
123.138.0.0/15
123.150.0.0/15
123.152.0.0/13
123.164.0.0/14
123.180.0.0/14
123.184.0.0/14
123.196.0.0/15
123.232.0.0/14
123.249.0.0/16
124.42.64.0/18
124.64.0.0/15
124.67.0.0/16
124.73.0.0/16
124.114.0.0/15
124.126.0.0/15
124.128.0.0/13
124.160.0.0/15
124.162.0.0/16
124.163.0.0/16
124.192.0.0/15
124.200.0.0/13
124.226.0.0/15
124.228.0.0/14
124.236.0.0/14
124.240.0.0/17
124.240.128.0/18
124.248.0.0/17
125.36.0.0/14
125.40.0.0/13
125.64.0.0/12
125.79.0.0/16
125.80.0.0/13
125.88.0.0/13
125.104.0.0/13
125.112.0.0/12
125.210.0.0/15
140.224.0.0/16
140.237.0.0/16
140.246.0.0/16
140.249.0.0/16
142.4.117.0/30
159.226.0.0/16
171.34.0.0/15
171.36.0.0/14
171.40.0.0/13
175.0.0.0/12
175.16.0.0/13
175.24.0.0/14
175.30.0.0/15
175.42.0.0/15
175.44.0.0/16
175.46.0.0/15
175.48.0.0/12
175.64.0.0/11
175.102.0.0/16
175.106.128.0/17
175.146.0.0/15
175.148.0.0/14
175.152.0.0/14
175.160.0.0/12
175.178.0.0/16
175.184.128.0/18
175.185.0.0/16
175.186.0.0/15
175.188.0.0/14
180.76.0.0/16
180.96.0.0/11
180.136.0.0/13
180.152.0.0/13
180.208.0.0/15
182.18.0.0/17
182.32.0.0/12
182.88.0.0/14
182.112.0.0/12
182.128.0.0/12
183.0.0.0/10
183.64.0.0/13
183.129.0.0/16
183.148.0.0/16
183.160.0.0/12
183.184.0.0/13
183.192.0.0/11
192.34.109.224/28
192.74.224.0/19
198.2.203.64/28
198.2.212.160/28
202.43.144.0/22
202.46.32.0/19
202.66.0.0/16
202.75.208.0/20
202.96.0.0/12
202.111.160.0/19
202.112.0.0/14
202.117.0.0/16
202.165.176.0/20
202.196.80.0/20
203.69.0.0/16
203.86.0.0/18
203.86.64.0/19
203.93.0.0/16
203.169.160.0/19
203.171.224.0/20
210.5.0.0/19
210.14.128.0/19
210.21.0.0/16
210.32.0.0/14
210.51.0.0/16
210.52.0.0/15
210.77.0.0/16
210.192.96.0/19
211.76.96.0/20
211.78.208.0/20
211.86.144.0/20
211.90.0.0/15
211.92.0.0/14
211.96.0.0/13
211.136.0.0/13
211.144.12.0/22
211.144.96.0/19
211.144.160.0/20
211.147.0.0/16
211.152.14.0/24
211.154.64.0/19
211.154.128.0/19
211.155.24.0/22
211.157.32.0/19
211.160.0.0/13
211.233.70.0/24
218.0.0.0/11
218.56.0.0/13
218.64.0.0/11
218.84.0.0/14
218.88.0.0/13
218.96.0.0/14
218.102.0.0/16
218.104.0.0/14
218.108.0.0/15
218.194.80.0/20
218.200.0.0/13
218.240.0.0/13
219.128.0.0/11
219.154.0.0/15
219.223.192.0/18
219.232.0.0/16
219.234.80.0/20
219.235.0.0/16
220.112.0.0/16
220.154.0.0/15
220.160.0.0/11
220.181.0.0/16
220.191.0.0/16
220.192.0.0/12
220.228.70.0/24
220.242.0.0/15
220.248.0.0/14
220.250.0.0/19
220.252.0.0/16
221.0.0.0/12
221.122.0.0/15
221.176.0.0/13
221.192.0.0/14
221.200.0.0/14
221.204.0.0/15
221.206.0.0/16
221.207.0.0/16
221.208.0.0/12
221.212.0.0/15
221.214.0.0/15
221.216.0.0/13
221.224.0.0/13
221.228.0.0/14
221.232.0.0/13
222.32.0.0/11
222.64.0.0/12
222.80.0.0/12
222.132.0.0/14
222.136.0.0/13
222.168.0.0/13
222.172.222.0/24
222.176.0.0/13
222.184.0.0/13
222.200.0.0/16
222.208.0.0/13
222.219.0.0/16
222.220.0.0/15
222.240.0.0/13
223.4.0.0/14
223.64.0.0/11
223.144.0.0/12
223.240.0.0/13
#china blocks end

또는 당신은 간단하게 추가 할 수 있습니다 CC_DENY = "CN"/etc/csf/csf.conf와 자동 Maxmind의 GeoIP가 데이터베이스를 기반으로 중국의 접두사를 찾을 수 있습니다.
Cha0s

감사하지만 CPU 사용, CC_DENY 또는 직접 IP 차단과 같은 서버 리소스를 덜 소비하는 방법은 확실하지 않습니다. 직접 IP 차단이 더 좋습니다.
user3601800

차이가 없습니다. iptables 규칙이로드되면 (일방 또는 다른-규칙은 본질적으로 동일) 시스템의로드는 동일합니다. 유일한 차이점은 목록이 정적 인 것입니다 (따라서 수동으로 최신 상태로 유지해야 함). GeoIP 데이터베이스의 목록은 국가 코드 당 새롭거나 더 이상 사용되지 않는 접두사를 반영하도록 수시로 자동 업데이트됩니다. iptables로 많은 접두사를 차단하면 시스템에 추가 부하가 발생합니다. 로드 할 접두사를 찾는 방식이 아니라 iptables 자체에서로드가 발생합니다.
Cha0s

csf에서 국가 코드 CN을 차단하는 것은 효과가 없었습니다. 오늘 mod_security에 의해 차단 된 중국에서 새로운 IP를 발견했습니다
user3601800
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.