Como faço para bloquear um host por ASN? Exemplo - AS16276

Navegue suas respostas
5

Existem alguns hosts especialmente tóxicos por aí. Não há razão para permitir o acesso de qualquer IP aos nossos servidores. Existe uma maneira de bloqueá-los usando seu ASN ou outro identificador global? Eu preferiria fazer isso no HTACCESS para portabilidade de aplicativo / servidor, mas o APF também é bom.

Um exemplo seria o bloqueio dos seguintes hosts. Mais de 50% de seus IPs já estão em listas negras, ou eles operam pontos de saída de proxy para empresas como PacketFlip:

  • AS4134 - ChinaNet
  • AS9808 - Guangdong Mobile Com
  • AS16276 - OVH SAS
  • AS15003 - Nobis Tech Group
  • AS36352 - ColoCrossing
  • AS29761 - QuadraNet
  • AS15895 - Kyivstar PJSC
  • AS50915 - S.C. Everhost S.R.L.
  • AS53889 - Micfo
  • AS57858 - OU da grade de fibra
por dhaupin 12.09.2014 / 16:46

4 respostas

5

Você pode usar o link

Um exemplo, por exemplo, colocrossing: link

Se você precisar fazer o download para um servidor e não quiser html, adicione & api = 1 ao final do link.

    
por 06.10.2014 / 01:18
5

Confira mod_asn :

mod_asn is an Apache module that uses BGP routing data to look up the autonomous system (AS) and the network prefix (subnet) which contains a given (clients) IP address.

mod_asn is usable as standalone module, and the lookup result can be used by scripts or other Apache modules. For instance, a download redirector could base its decisions on the lookup result provided by mod_asn.

Eu não tenho nenhuma experiência direta com isso, mas parece promissor.

Alguém com experiência direta com este módulo deve se sentir à vontade para editar essa resposta para adicionar detalhes específicos relevantes.

Além disso, você pode conversar com seu administrador de rede para que esses ASNs sejam bloqueados ou ignorados no roteador, então você não precisa fazer disso um problema de configuração de aplicativos. Uma desvantagem (principal?) Da abordagem mod_asn é que ela não impede que endereços IP impertinentes tentem atacar outros serviços em seu host ou rede, ela soltará apenas solicitações HTTP / HTTPS para os servidores apache configurados.

    
por 12.09.2014 / 17:04
0

Portanto, em relação a essa declaração: CSF Eu queria esclarecer algumas coisas. Você pode automatizar com asn-blocklist. Tudo o que você precisa fazer é adicionar '& api = 1' ao final do seu URL. Por exemplo: link

Isso fará o download de uma versão bruta do arquivo sem qualquer html. Tudo o que você precisa fazer depois disso é automatizar com um script simples usando o wget, copiando o arquivo antigo e recarregando seu programa (nginx). 

#!/bin/bash

mkdir /tmp/asn
cd /tmp/asn

wget --content-disposition "https://www.enjen.net/asn-blocklist/index.php?asn=AS36352&type=nginx&api=1"
wget --content-disposition "https://www.enjen.net/asn-blocklist/index.php?asn=AS133165&type=nginx&api=1"
## Repeat wget here for all the asns you want. 

cp /tmp/asn/* /etc/nginx/conf.d/
service nginx reload

rm -rf /tmp/asn
echo done...

Com efeito, você pode rapidamente manter sua (s) lista (s) de bloqueio atualizada (s) e sem o uso de importação manual da (s) lista (s) de bloqueio.

Com isso, é simplesmente entender seu caso / plataforma de uso para automatizar o script de acordo com suas necessidades pessoais.

    
por 06.09.2016 / 17:17
-1

Ok, embora a resposta de Mun esteja correta para encontrar ASNs, ela depende de verificações / atualizações estáticas e, em seguida, coladas em negação listas / firewalls. Eu tenho usado o APF por muito tempo. Olhando através das configurações, percebi que o firewall CSF tem uma opção para bloquear via ASN e / ou código do país (ISO). Consulta o banco de dados Maxmind GEOIP. Aqui está a desc do /etc/csf/csf.conf

SECTION:Country Code Lists and Settings

Country Code to CIDR allow/deny. In the following two options you can allow or deny whole country CIDR ranges. The CIDR blocks are generated from the Maxmind GeoLite Country database http://www.maxmind.com/app/geolitecountry and entirely relies on that service being available

Specify the the two-letter ISO Country Code(s). The iptables rules are for incoming connections only

Additionally, ASN numbers can also be added to the comma separated lists below that also list Country Codes. The same WARNINGS for Country Codes apply to the use of ASNs. More about Autonomous System Numbers (ASN): http://www.iana.org/assignments/as-numbers/as-numbers.xhtml

You should consider using LF_IPSET when using any of the following options

WARNING: These lists are never 100% accurate and some ISP's (e.g. AOL) use non-geographic IP address designations for their clients

WARNING: Some of the CIDR lists are huge and each one requires a rule within the incoming iptables chain. This can result in significant performance overheads and could render the server inaccessible in some circumstances. For this reason (amongst others) we do not recommend using these options

WARNING: Due to the resource constraints on VPS servers this feature should not be used on such systems unless you choose very small CC zones

WARNING: CC_ALLOW allows access through all ports in the firewall. For this reason CC_ALLOW probably has very limited use and CC_ALLOW_FILTER is preferred

Each option is a comma separated list of CC's, e.g. "US,GB,DE"

As opções de conf em questão são estas:

CC_DENY=""

CC_ALLOW=""

E existem filtros mais específicos abaixo dele no arquivo conf para limpar ainda mais o bloqueio.

    
por 23.08.2016 / 19:50

Tags

Como consertar o nome do arquivo invisível? O Visual Studio Ultimate 2013 trava com a mensagem “Aguardando a operação ser concluída”