Dan Asked: 2009-09-05 03:42:58 +0800 CST2009-09-05 03:42:58 +0800 CST 2009-09-05 03:42:58 +0800 CST 是否值得阻止黑客的 IP 地址? 772 访问我们的一项调查时,我们的日志中显示了一个中国 IP 地址,但由于用户尝试在调查 URL 的末尾添加一个字符串(就好像尝试执行 SQL 注入攻击一样),所以它很突出。 因为 IP 地址的 whois 查找来自中国,所以阻止整个 IP 范围似乎是可行的。我们在香港确实有一位客户,但他们的调查针对的是来自新加坡、大洋洲和美国的商业用户,而不是中国本身。 阻止IP地址还是保持开放更好? security 12 个回答 Voted Kyle Brandt 2009-09-05T04:06:18+08:002009-09-05T04:06:18+08:00 如果它看起来不是机器人,您可以利用这一点。您可以使用虚拟数据设置另一台服务器,根据源 IP 重定向到该服务器,然后观看他们破解它。正如巴特在“代码审计”中所说,公司为渗透测试付费。因此,如果黑客设法通过,您可以将其提交给开发人员,然后您就可以从黑客那里获得免费工作:-) 我自己从来没有这样做过,但如果你有时间/资源,可能会很有趣...... Best Answer Bart Silverstrim 2009-09-05T03:57:10+08:002009-09-05T03:57:10+08:00 取决于,再次。 如果你封锁了IP,那么改变IP并不难。 如果你挡住了射程,你会从无法进入但无辜的人那里得到很多附带伤害。并不能阻止很多人仍然阻止国家范围的 IP。 如果您有一定数量的客户可以访问相关网站...它是一个半私有数据库,仅供订阅者使用,等等...您可以阻止访问所有未接受的白名单到该部分仅限网站。 否则,您需要保持更新、更新、更新,并定期让外部承包商审核您的代码是否存在注入攻击和其他危险,并且可能会在服务器上安装 Tripwire 之类的东西来监视服务器上的可疑更改和更改(以及保持良好的离线备份。不少站点都有“实时”备份,一旦进入网络,就会突然被黑客入侵或删除)。 根据我的经验,阻止特定网站和黑客尝试是混乱的,并不一定能阻止问题。如果它是一次又一次的重复点击,您可以查看一个解决方案,该解决方案发现您的网站存在问题并自动阻止一段时间(有点像 SSH 的拒绝主机),所以它是一种短暂的,“已经足够了”不会永远使您的系统混乱的块。脚本攻击很容易有一天从左侧击中然后在第二天出现在右侧,最终你会在追逐你的尾巴试图阻止这些白痴的圈子里跑来跑去。 确保您的服务器在 LAN 之外是安全的,并被分段以防止对该系统的黑客攻击污染您的网络的其余部分。审核它。查看日志以查找可疑活动。仅在路由器上阻止真正有问题的 IP(如拒绝服务攻击)。否则...我的投票是,除非您有某种自动跟踪它的方法以及在一段时间后自动删除它的方法,否则阻止它们很麻烦。 Cian 2009-09-05T04:57:58+08:002009-09-05T04:57:58+08:00 我不会手动阻止IP。但是,我可能会根据 apache 日志设置一个 fail2ban 脚本,以编程方式在短时间内阻止用户的 IP(我假设您使用的是 linux。替换您的操作系统和选择的脚本)。这不是完美的安全性。它只是让坏人的生活变得更加艰难,而你自己却付出了很少的代价。 Jayhal 2011-07-31T11:46:03+08:002011-07-31T11:46:03+08:00 上面给出的许多关于保护和监控服务器的替代解决方案比简单的禁令更能利用时间,特别是对于来自中国的 IP。所有主要电信公司(实际上基本上有两家,但我离题了)为几乎所有家庭和中小型企业提供具有动态 IP 的宽带服务。只需拔出和重新插入路由器即可切换到未被阻止的 IP。 此外,在一个对互联网有如此严格政策的国家,你可以很确定任何精明到试图攻击或入侵服务器的人都熟悉并且很可能经常使用代理和其他隧道或中继方法,并且几乎不会受到简单的 IP 禁令的影响,即使它们是从静态 IP 运行的。 此外,过去 X 年在中国生活过,尝试加载页面并被告知 IP 已因滥用而被阻止,因为一些早先拥有 IP 的混蛋没有更好的事情可做,这真的很烦人。在没有强有力的支持理由的情况下阻止整个 IP 范围对我来说总是有点极端。 cop1152 2009-09-05T05:15:39+08:002009-09-05T05:15:39+08:00 我认为定期审核您的日志是一种很好的做法。有些人甚至不这样做。 我同意这里的所有建议。阻止 IP 可能不会受到伤害,但你不能真正阻止某些机器人尝试连接的每个 IP……我已经尝试过了。我想如果它不是机器人,然后阻止它。也许它会发送一条消息。您无法确定另一端有哪些资源。 我会说要仔细注意你的日志(显然)。确保您的机器已更新。另外,请确保您有备份,以防发生可怕的事情。 Wim ten Brink 2009-09-05T04:32:20+08:002009-09-05T04:32:20+08:00 我的个人意见?封锁没用! 基本上,当阻止 IP 成为公司政策时,您会产生一种错误的安全感,因为您认为自己在阻止坏人。现实?坏人知道如何切换到其他系统和其他 IP 地址,而他们误用的 IP 地址将继续被阻止。如果该 IP 地址恰好链接到合法用户,那么该用户将被阻止,而黑客只是使用另一个门进入您的站点。 不,如果黑客试图入侵您的网站,请检查他的攻击是否成功。如果可能,尝试重放他的攻击。如果他成功了,你应该修补服务器中的漏洞,而不是阻止黑客。老实说,黑客攻击对您的网站很有用,可以显示它的安全性。如果您被黑客入侵,那么您的安全性还不够好,您应该责怪自己的技术人员,而不是攻击您的黑客。 您不会通过阻止他们的 IP 地址来阻止黑客。迟早你会阻塞一半的互联网...... womble 2009-09-05T04:00:18+08:002009-09-05T04:00:18+08:00 我的策略是,如果源导致性能问题或实际上找到了一个漏洞(托管其他人的劣质网站有它的缺点),那么它就会被阻止,否则让他们打出他们的小脑袋,飞起来。 Maxwell 2009-09-05T04:05:58+08:002009-09-05T04:05:58+08:00 以下是一些指导方针: 你应该让你的面向互联网的服务器保持最新,审计你的脚本,使用安全区域,监狱,chroots,在适用的情况下,使用类似tripwire的东西来审计变化,也许是跨端口上的IDS(由你决定与那里发生的事情有很好的相关性,因为攻击者可能会淹没您的 IDS,从而隐藏真正的攻击。) 在真正的攻击场景下,仅仅阻止一个 ip 可能只是浪费时间。 希望这可以帮助。 user99963 2014-01-02T10:01:08+08:002014-01-02T10:01:08+08:00 不要仅仅因为它们来自另一个国家而阻止来自另一个国家的整个 IP 地址,而您并不在乎。这可能是种族主义者。至少,它不符合开放的、基于同行的全球社区,即互联网。 最好的办法是: 暂时阻止他们 找出谁应对该网络上的滥用行为负责: whois the.abusers.ip.addr | grep -i abuse 给他们发电子邮件,明确表示您希望这会得到快速处理,或者您将把它带到他们的 ISP,上一层。补充说,如果您拥有足够大/重要的网络/客户,那么您也将阻止他们的整个 RIPE 分配。 假设它得到整理,感谢 OrgAbuseEmail 的家伙,并删除块。否则,实施威胁,将 ip / 网络报告给垃圾邮件过滤器等。 Ronnie Rahman 2016-05-25T03:32:37+08:002016-05-25T03:32:37+08:00 如果永久禁止是您想要做的,那么您可能会采用不同的策略来永久阻止 IP 地址,方法是查看您的身份验证日志, grep -a sshd /var/log/auth.log 以查看谁在尝试访问您的 ssh。很容易看出是否有人在尝试使用蛮力,因为您可以看到他们会尝试使用一些常用的用户名并一遍又一遍地尝试连接到您的 ssh。如果有人试图这样做,至少,他们肯定没有好处,你可以继续禁止他们。这就是我们在服务器上所做的。
如果它看起来不是机器人,您可以利用这一点。您可以使用虚拟数据设置另一台服务器,根据源 IP 重定向到该服务器,然后观看他们破解它。正如巴特在“代码审计”中所说,公司为渗透测试付费。因此,如果黑客设法通过,您可以将其提交给开发人员,然后您就可以从黑客那里获得免费工作:-)
我自己从来没有这样做过,但如果你有时间/资源,可能会很有趣......
取决于,再次。
如果你封锁了IP,那么改变IP并不难。
如果你挡住了射程,你会从无法进入但无辜的人那里得到很多附带伤害。并不能阻止很多人仍然阻止国家范围的 IP。
如果您有一定数量的客户可以访问相关网站...它是一个半私有数据库,仅供订阅者使用,等等...您可以阻止访问所有未接受的白名单到该部分仅限网站。
否则,您需要保持更新、更新、更新,并定期让外部承包商审核您的代码是否存在注入攻击和其他危险,并且可能会在服务器上安装 Tripwire 之类的东西来监视服务器上的可疑更改和更改(以及保持良好的离线备份。不少站点都有“实时”备份,一旦进入网络,就会突然被黑客入侵或删除)。
根据我的经验,阻止特定网站和黑客尝试是混乱的,并不一定能阻止问题。如果它是一次又一次的重复点击,您可以查看一个解决方案,该解决方案发现您的网站存在问题并自动阻止一段时间(有点像 SSH 的拒绝主机),所以它是一种短暂的,“已经足够了”不会永远使您的系统混乱的块。脚本攻击很容易有一天从左侧击中然后在第二天出现在右侧,最终你会在追逐你的尾巴试图阻止这些白痴的圈子里跑来跑去。
确保您的服务器在 LAN 之外是安全的,并被分段以防止对该系统的黑客攻击污染您的网络的其余部分。审核它。查看日志以查找可疑活动。仅在路由器上阻止真正有问题的 IP(如拒绝服务攻击)。否则...我的投票是,除非您有某种自动跟踪它的方法以及在一段时间后自动删除它的方法,否则阻止它们很麻烦。
我不会手动阻止IP。但是,我可能会根据 apache 日志设置一个 fail2ban 脚本,以编程方式在短时间内阻止用户的 IP(我假设您使用的是 linux。替换您的操作系统和选择的脚本)。这不是完美的安全性。它只是让坏人的生活变得更加艰难,而你自己却付出了很少的代价。
上面给出的许多关于保护和监控服务器的替代解决方案比简单的禁令更能利用时间,特别是对于来自中国的 IP。所有主要电信公司(实际上基本上有两家,但我离题了)为几乎所有家庭和中小型企业提供具有动态 IP 的宽带服务。只需拔出和重新插入路由器即可切换到未被阻止的 IP。
此外,在一个对互联网有如此严格政策的国家,你可以很确定任何精明到试图攻击或入侵服务器的人都熟悉并且很可能经常使用代理和其他隧道或中继方法,并且几乎不会受到简单的 IP 禁令的影响,即使它们是从静态 IP 运行的。
此外,过去 X 年在中国生活过,尝试加载页面并被告知 IP 已因滥用而被阻止,因为一些早先拥有 IP 的混蛋没有更好的事情可做,这真的很烦人。在没有强有力的支持理由的情况下阻止整个 IP 范围对我来说总是有点极端。
我认为定期审核您的日志是一种很好的做法。有些人甚至不这样做。
我同意这里的所有建议。阻止 IP 可能不会受到伤害,但你不能真正阻止某些机器人尝试连接的每个 IP……我已经尝试过了。我想如果它不是机器人,然后阻止它。也许它会发送一条消息。您无法确定另一端有哪些资源。
我会说要仔细注意你的日志(显然)。确保您的机器已更新。另外,请确保您有备份,以防发生可怕的事情。
我的个人意见?封锁没用!
基本上,当阻止 IP 成为公司政策时,您会产生一种错误的安全感,因为您认为自己在阻止坏人。现实?坏人知道如何切换到其他系统和其他 IP 地址,而他们误用的 IP 地址将继续被阻止。如果该 IP 地址恰好链接到合法用户,那么该用户将被阻止,而黑客只是使用另一个门进入您的站点。
不,如果黑客试图入侵您的网站,请检查他的攻击是否成功。如果可能,尝试重放他的攻击。如果他成功了,你应该修补服务器中的漏洞,而不是阻止黑客。老实说,黑客攻击对您的网站很有用,可以显示它的安全性。如果您被黑客入侵,那么您的安全性还不够好,您应该责怪自己的技术人员,而不是攻击您的黑客。
您不会通过阻止他们的 IP 地址来阻止黑客。迟早你会阻塞一半的互联网......
我的策略是,如果源导致性能问题或实际上找到了一个漏洞(托管其他人的劣质网站有它的缺点),那么它就会被阻止,否则让他们打出他们的小脑袋,飞起来。
以下是一些指导方针:
你应该让你的面向互联网的服务器保持最新,审计你的脚本,使用安全区域,监狱,chroots,在适用的情况下,使用类似tripwire的东西来审计变化,也许是跨端口上的IDS(由你决定与那里发生的事情有很好的相关性,因为攻击者可能会淹没您的 IDS,从而隐藏真正的攻击。)
在真正的攻击场景下,仅仅阻止一个 ip 可能只是浪费时间。
希望这可以帮助。
不要仅仅因为它们来自另一个国家而阻止来自另一个国家的整个 IP 地址,而您并不在乎。这可能是种族主义者。至少,它不符合开放的、基于同行的全球社区,即互联网。
最好的办法是:
暂时阻止他们
找出谁应对该网络上的滥用行为负责:
给他们发电子邮件,明确表示您希望这会得到快速处理,或者您将把它带到他们的 ISP,上一层。补充说,如果您拥有足够大/重要的网络/客户,那么您也将阻止他们的整个 RIPE 分配。
如果永久禁止是您想要做的,那么您可能会采用不同的策略来永久阻止 IP 地址,方法是查看您的身份验证日志,
grep -a sshd /var/log/auth.log以查看谁在尝试访问您的 ssh。很容易看出是否有人在尝试使用蛮力,因为您可以看到他们会尝试使用一些常用的用户名并一遍又一遍地尝试连接到您的 ssh。如果有人试图这样做,至少,他们肯定没有好处,你可以继续禁止他们。这就是我们在服务器上所做的。