IPアドレスのブロック範囲

同様のIPを使用した中国からのハッキングの試みで攻撃を受けています。

116.10.191。*などのようなIP範囲をどのようにブロックしますか。

Ubuntu Server 13.10。を実行しています。

現在使用している行は次のとおりです。

sudo /sbin/iptables -A INPUT -s 116.10.191.207 -j DROP

これにより、一度に1つずつしかブロックできませんが、ハッカーは試行ごとにIPを変更しています。

116.10.191。*アドレスをブロックするには：

$ sudo iptables -A INPUT -s 116.10.191.0/24 -j DROP

116.10。*。*アドレスをブロックするには：

$ sudo iptables -A INPUT -s 116.10.0.0/16 -j DROP

116。*。*。*アドレスをブロックするには：

$ sudo iptables -A INPUT -s 116.0.0.0/8 -j DROP

ただし、このメソッドを使用してブロックするものに注意してください。正当なトラフィックがホストに到達するのを防ぎたくありません。

編集：指摘したように、iptablesはルールを順番に評価します。ルールセットの上位のルールは、ルールセットの下位のルールの前に適用されます。そのため、上記のトラフィックを許可するルールセットの上位にルールがある場合iptables -A、DROPルールを追加（）すると、意図したブロッキング結果が生成されません。この場合、次のiptables -Iいずれかのルールを挿入（）します。

• 最初のルールとして

sudo iptables -I ...

• または許可ルールの前

sudo iptables --line-numbers -vnL

ルール番号3がsshトラフィックを許可し、ip範囲のsshをブロックすることを示しているとします。-I新しいルールを挿入したいルールセット内の位置である整数の引数を取ります

iptables -I 2 ...

sudo /sbin/iptables -A INPUT -s 116.10.191.0/24 -j DROP

これにより、範囲がブロックされます。同じ一般的な形式で、必要に応じてサブネットを拡張できます。

別のアプローチとして、fail2banのような単純なものを使用できます。連続して失敗したログイン試行に対してタイムアウトを設定し、タイムアウトごとにわずかなチャンスしか得られないため、ブルートフォーシングが実行不可能になります。タイムアウト時間を30分に設定します。1〜2時間後には、彼らは前進することができず、あきらめることができないことに気付きます。