如何封禁大量恶意IP?
摘要:封禁IP分为自动封禁和人工封禁,本文主要介绍如何人工封禁。人工封禁的关键是:无缝协同,方便操作,批量化,一键式,防误封,高容量。
IP封禁是对付网络攻击的最直接、最有效的方法。
在网络安全防御体系中,有些系统和设备,可以通过TCP reset、返回HTTP错误等方式自动拦截,或是联动防火墙进行自动封禁,但这是不够的。在真实的防守场景下,人工封禁是必不可少的。
人工封禁主要是对监控发现和情报传递的恶意IP进行封禁。如何在短时间内,在多台防火墙上(企业可能会有多个互联网出口)迅速封禁,值得研究和优化。
本文总结了一些实用的方法,仅供参考。
1. 无缝协同
应该有一个协作平台,至少提供在线文档和即时通信,安全监测人员可以通过在线表格,及时上报各种攻击行为及其IP,网络封禁人员实时查看表格,在IP封禁系统中填入IP,然后一键下发到企业所有互联网出口的防火墙上。
2. 一键下发
企业应建设IP封禁系统,可以在运维自动化系统中建设该模块,也可单独建设。
主要思路是,通过防火墙的API或者SSH方式,实施自动化的登录和操作。
应能够预先选择多台防火墙。
操作员只需要填入IP,或导入批量IP,即可生成将恶意IP加入黑名单的封禁命令,然后下发到预先选择的多台防火墙中。
如果在一定时间内没有页面操作,应强制再次认证。
相应地,应该有对应的解封操作页面。
3. 优先黑名单
主流防火墙提供黑名单封禁和安全策略封禁两种封禁方式。
黑名单封禁方式能立刻中断被封禁IP的现有连接,并禁止后续连接。
安全策略封禁方式完成配置后,可禁止相应IP的后续连接,但不能断掉现有连接。
所以,对监控发现的攻击IP,应优先采用黑名单封禁。
对于大量的情报IP(成千上万),可使用安全策略方式批量封禁。
4. 容量管理
主流防火墙的黑名单容量通常在2万-10万个IP之间,在黑名单封禁IP数量达到容量的50%时,应考虑将黑名单中的封禁IP分批迁移到安全策略中(容量通常在百万级别或者无限制),保障黑名单始终保持充足容量以应对大量突发攻击。
安全策略是关联到IP地址组的,对于主流防火墙而言,每个IP地址组也有容量上限(通常在1000-3000个之间),在做黑名单IP迁移和情报批量导入时,应做好分组管理,地址组命名规则以日期组合序号为宜,如Block20220810-01、Block20220810-02等,以便于封禁IP的查询和回溯。
5. 防误封
为了防止误封,IP封禁系统应实现白名单功能,将企业自有的公网出口IP、合作单位IP等加入白名单。实施封禁时,系统自动对待封禁IP进行白名单检查,防止误封IP导致业务故障。
将IP添加到白名单时,应详细记录加入的原因、关联业务、需求人、操作人、操作时间等,便于管理和追溯。
此外,自动进行合理性检查,尤其是检查带子网掩码的IP,防范因掩码错误导致大网段封禁,此类高危操作应自动强制进入短信审批流程。
因为,我见过有人要封1.2.3.4/32,结果手一抖,封成了1.2.3.4/3。
学过网络的,都知道这是什么意思。
6. 总结
尽可能自动化,尽可能防范误操作,会让你更轻松一点。
文|卫sir
如何封禁大量恶意IP?相关推荐
- 如何封禁大量恶意 IP
公众号关注 「奇妙的 Linux 世界」 设为「星标」,每天带你玩转 Linux ! 摘要:封禁IP分为自动封禁和人工封禁,本文主要介绍如何人工封禁.人工封禁的关键是:无缝协同,方便操作,批量化,一键 ...
- 华为防火墙设置安全策略,封禁高危异常ip
一般单位的网络,遭受到外来的ip攻击,或者试图入侵,可以在出口防火墙处设置安全策略将那些试图入侵的ip地址给封了(境外的ip一般直接封了,国内的需要自己去查询具体情况) 新建策略的时候,将异常ip添加 ...
- 封禁恶意IP访问在我司实践总结
1.需求分析 随着公司业务量的增长,有些人可能就会动些小心思搞你一下,爬虫或者恶意访问你,如何限制这些用户访问呢,今天做下总结,大体有三种方案:代码层面:http服务器(以nginx为例):服务器网络 ...
- Nginx+Lua脚本+Redis 实现自动封禁访问频率过高IP
前言:由于公司前几天短信接口被一直攻击,并且攻击者不停变换IP,导致阿里云短信平台上的短信被恶意刷取了几千条,然后在Nginx上对短信接口做了一些限制 临时解决方案: 1.查看Nginx日志发现被攻击 ...
- 服务器被攻击怎么封禁IP
如果您的服务器被入侵了,最好的做法是立即断开网络连接,以防止攻击者进一步损害您的系统.然后,您应该检查您的服务器,看看是否有任何指示受到入侵的迹象.如果您发现了任何可疑的活动,您应该立即联系您的网络管 ...
- iptables+ipset自动封闭和解封频繁访问web服务的恶意IP
iptables直接针对ip进行封禁,在ip数量不大的时候是没什么问题的,但当有大量ip的时候性能会严重下降,iptables是O(N)的性能.而ipset就像一个集合,把需要封闭的ip地址写入这个集 ...
- 因涉政内容导致域名被封禁
前天1月28日腾讯云给我发了邮件,如下图:不过我没太注意就没有管. 然后,第二天也就是29日,立马就把我的域名封禁了,emmm··· 官方说明:告警中的处置资源 尚未封禁,无需申请解封,需要您立刻完成 ...
- [H3C]配置命令之MAC地址表项应用:封禁MAC地址
MAC(Media Access Control,媒体访问控制)地址表记录了 MAC 地址与接口的对应关系,以及接口所属的 VLAN 等信息.设备在转发报文时,根据报文的目的 MAC 地址查询 MAC ...
- Nginx封禁恶意IP
网络攻击时有发生, TCP洪水攻击.注入攻击.DOS等 比较难防的有DDOS等 数据安全,防止对手爬虫恶意爬取,封禁IP 一般就是封禁ip linux server的层面封IP:iptables ng ...
- openresty开发系列38--通过Lua+Redis 实现动态封禁IP
openresty开发系列38--通过Lua+Redis 实现动态封禁IP 一)需求背景为了封禁某些爬虫或者恶意用户对服务器的请求,我们需要建立一个动态的 IP 黑名单.对于黑名单之内的 IP ,拒绝 ...
最新文章
- Centos7上安装docker 详细教程
- HTML5 学习笔记(一)- video
- AI黑科技:呵护地球,我们是认真的
- 架构设计的真谛:系统与子系统、模块与组件、框架与架构
- 面试官问我什么是扩展自适应机制
- 用Discuz/UCenter账号实现Wifi登录认证
- InfoQ专访网易云陈谔:用微服务体系满足企业数字化转型需求
- linux下基于apache下的svn的搭建
- es Root mapping definition has unsupported parameters解决方法
- c语言实验题数组逆序,【C语言】利用栈将数组中字符串逆序
- 《智能计算系统》课程报告——《An Efficient FPGA Accelerator Optimized for High Throughput Sparse CNN Inference》学习笔记
- 分析app和wap手机网站的不同
- Linux终端设置成256色模式,如何设置LinuxX终端,使Emacs可以访问256色?
- Win10安装Eclipse以及可能出现的问题
- 网站微信扫码登录回调不跳转问题
- 如何给PDF文件加密?PDF文件加密操作步骤来了
- 机器学习复盘(2):机器学习主要应用场景及典型案例
- 柯尔特python_柯字取名的含义是什么
- DSP delay延时函数
- 关于电脑使用墨墨背单词使用键盘操作问题