IPアドレスのブロック範囲
私はすべて同じようなIPを持つ中国からのハッキングの試みにさらされています。
116.10.191。*などでIP範囲をどのようにブロックしますか?.
Ubuntu Server 13.10を実行しています。
私が使用している現在の行は次のとおりです。
Sudo /sbin/iptables -A INPUT -s 116.10.191.207 -j DROP
これにより、一度に1つずつブロックすることができますが、ハッカーはすべての試行でIPを変更しています。
116.10.191。*アドレスをブロックするには:
$ Sudo iptables -A INPUT -s 116.10.191.0/24 -j DROP
116.10。*。*アドレスをブロックするには:
$ Sudo iptables -A INPUT -s 116.10.0.0/16 -j DROP
116。*。*。*アドレスをブロックするには:
$ Sudo iptables -A INPUT -s 116.0.0.0/8 -j DROP
ただし、この方法を使用してブロックするものに注意してください。正当なトラフィックがホストに到達しないようにする必要はありません。
編集:指摘したように、iptablesはルールを順番に評価します。ルールセットの上位のルールは、ルールセットの下位のルールの前に適用されます。したがって、上記のトラフィックを許可するルールセットの上位にルールがある場合は、(iptables -A)DROPルールは、意図したブロッキング結果を生成しません。この場合、(iptables -I)ルールのいずれか:
- 最初のルールとして
Sudo iptables -I ...
- または許可ルールの前
Sudo iptables --line-numbers -vnL
ルール番号3がsshトラフィックを許可し、IP範囲のsshをブロックすることを示しているとします。 -Iは、新しいルールを挿入するルールセット内の場所である整数の引数を取ります
iptables -I 2 ...
Sudo /sbin/iptables -A INPUT -s 116.10.191.0/24 -j DROP
これは範囲をブロックします。同じ一般的な形式で、必要に応じてサブネットを拡張できます。
別のアプローチとして、fail2banのような単純なものを使用できます。連続して失敗したログイン試行に対してタイムアウトを設定し、タイムアウトごとに数回のチャンスしか得られないため、ブルートフォーシングを実行不可能にします。タイムアウト時間を30分に設定しました。彼らが1、2時間になるまでに、彼らは前進できず、あきらめることができないことに気づきます。