国内恶意IP封禁计划,还赛博空间一片朗朗乾坤
最近团队系列站群遭受到了大量流量攻击,攻击源均来自于 国内傀儡机 ,在国内如此猖狂令我震惊!以下为团队系列网站开启防护措施后,仍受到的攻击流量截图:
于是我就想建立一个国内恶意威胁情报库,能够快速识别、整理以及封禁这些恶意IP,防止对业务产生影响。
由此,「国内恶意IP收集封禁计划」诞生了:
项目主体结构如下,非常简单:
├─ README.md # 本项目的整体说明文档
│
├─ DDoS_CC_Attack
│ IPv4_恶意地址.txt # 存放国内进行DDoS攻击和CC攻击的恶意IPv4地址
│ IPv4_恶意地址段.txt # 存放国内进行DDoS攻击和CC攻击的恶意IPv4地址段
│ IPv6_恶意地址.txt # 存放国内进行DDoS攻击和CC攻击的恶意IPv6地址
│
├─ Intrusion_Attacks
│ IPv4_恶意地址.txt # 存放国内未经授权进行渗透测试、扫描的恶意IPv4地址
│ IPv4_恶意地址段.txt # 存放国内未经授权进行渗透测试、扫描的恶意IPv4地址段
│ IPv6_恶意地址.txt # 存放国内未经授权进行渗透测试、扫描的恶意IPv6地址
│
└─ Phishing_Attack
Domain_恶意域名.txt # 储存国内钓鱼攻击的恶意域名
IPv4_恶意地址.txt # 储存国内钓鱼攻击的恶意IPv4地址
目前数据的主要来源:
由衷感谢每一位支持「国内恶意IP收集封禁计划」的师傅们!🥰
我还写了一个开源项目,可以从大量IP中筛选出指定国家归属的IP:https://github.com/AabyssZG/IP-Where
感谢以下开源项目对本项目的威胁情报支持:
团队系列网站每隔一段时间,总有莫名其妙的攻击,经过一次又一次的应对攻击,我们也在逐步摸索解决方案
对于渗透攻击,可以建立WAF对网站进行防护,这里可以自己去网上找可自行部署的WAF;对于钓鱼攻击,通常都是封禁恶意IP+恶意域名,以及提高人员安全意识来进行防范
对于DDoS或者CC这种流量攻击,这里提供的方案非常适用于国内运营的个人网站以及中小企业的业务网站:
经过实际情况测试,经过这么一套连招下来,网站会非常快恢复,并且消耗的流量会非常小
本文提供几种常见产品封禁IP的方法,具体产品请看产品说明文档或者咨询对应产品客服
找到 访问控制
-> IP黑/白名单
填写要封禁的IP或者IP段,如下图:
找到 Web防护
-> 自定义规则
-> 客户端管控
填写要封禁的IP或者IP段,如下图:
找到 通用配置
-> IP组
-> 添加IP组
填写要封禁的IP或者IP段,如下图:
接着找到 防护配置
-> 黑白名单
-> 添加黑白名单
编写黑名单策略,如下图:
找到 全局配置
-> IP黑名单
-> 导入
填写要封禁的IP或者IP段,如下图:
使用Linux系统的 iptables
封禁IP(段)与解封IP(段)常用命令
iptables -I INPUT -s 123.44.55.66 -j DROP // 封禁123.44.55.66这个IP
iptables -I INPUT -s 123.44.55.66/24 -j DROP // 封禁123.44.55.66/24这个IP段
要解封指定IP或者IP段,则将命令行中的 -I
换成 -D
即可,前提是 iptables
已经有这条记录
如果要想清空封掉的IP地址,可以输入:
iptables -flush
QQ:1281673283