如何通过ASN阻止主机?示例 - AS16276

7

那里有一些特别有毒的宿主。没有理由我们需要允许他们的任何IP访问我们的服务器。有没有办法可以使用ASN或其他全局标识符阻止它们?我更喜欢在HTACCESS中为app / server portability做到这一点,但是APF也很好。

一个例子是阻止以下主机。超过50%的IP已经在黑名单上,或者他们为PacketFlip等公司运营代理退出点:

  • AS4134 - ChinaNet
  • AS9808 - 广东移动通信
  • AS16276 - OVH SAS
  • AS15003 - 诺比斯科技集团
  • AS36352 - ColoCrossing
  • AS29761 - QuadraNet
  • AS15895 - Kyivstar PJSC
  • AS50915 - SC Everhost SRL
  • AS53889 - Micfo
  • AS57858 - 光纤网格OU
networking  firewall  blocking  htaccess 
dhaupin
source

Answers:

8

你可以使用https://www.enjen.net/asn-blocklist/

一个例子,即colocrossing:https://www.enjen.net/asn-blocklist/index.php asn = AS36352 type = httptcess

如果您需要将其下载到服务器并且不需要html,那么在链接的末尾添加&api = 1。


source
1
欢迎来到SuperUser.SE。在您的回复中,如果您可以提供有关网站的一些信息,以防更改其地址,那会更好。
LDC3 2014年
你什么意思?
1
有时网站会更改其地址,因此您发布的链接将无法使用。如果您描述了链接的内容,那么当链接被破坏时,某些人可能会通过网络搜索找到它。
LDC3 2014年
2
在谷歌上非常简单的搜索asn-blocklist。它不应该改变地址。
2014年
1
@Mun谢谢,这正是我所需要的,尤其是api功能。@ LDC3该链接是来自ASN的黑名单创建者。它使各种粘贴友好的IP列表成为完整的ASN包。我猜G搜索会像“ASN htaccess block maker”...
dhaupin
5

看看mod_asn

mod_asn是一个Apache模块,它使用BGP路由数据来查找包含给定(客户端)IP地址的自治系统(AS)和网络前缀(子网)。

mod_asn可用作独立模块,查找结果可由脚本或其他Apache模块使用。例如,下载重定向器可以根据mod_asn提供的查找结果做出决策。

我对此没有任何直接经验,但听起来很有希望。

对此模块有直接经验的人应该随时编辑此答案以添加相关的具体细节。

此外,您可以与网络管理员联系,以便在路由器上阻止或忽略这些ASN,然后您不必将此设置为应用程序配置问题。mod_asn方法的一个(主要?)缺点是它不会阻止顽皮的IP地址试图攻击主机或网络上的其他服务,它只会将HTTP / HTTPS请求丢弃到配置的apache服务器。

webmarc
source
他们会在IP路由器上忽略它们吗?谢谢我从来没有听说过那个,它看起来很酷。我会暂时取消标记,以防万一其他人也有想法。任何mod_asn用户都有提示?
dhaupin 2014年
通过ASN,路由器会说BGP并知道如何通过ASN过滤
webmarc 2014年
0

所以关于这个声明:CSF我想澄清一些事情。您可以使用asn-blocklist自动执行。您需要做的就是在网址的末尾添加“&api = 1”。例如:https//www.enjen.net/asn-blocklist/index.php?asn = AS36352&type = nginx&api = 1

这将下载没有任何HTML的文件的原始版本。所有你需要做的就是使用一个简单的bash脚本自动使用wget,复制旧文件,然后重新加载你的程序(nginx)。

#!/bin/bash

mkdir /tmp/asn
cd /tmp/asn

wget --content-disposition "https://www.enjen.net/asn-blocklist/index.php?asn=AS36352&type=nginx&api=1"
wget --content-disposition "https://www.enjen.net/asn-blocklist/index.php?asn=AS133165&type=nginx&api=1"
## Repeat wget here for all the asns you want. 

cp /tmp/asn/* /etc/nginx/conf.d/
service nginx reload

rm -rf /tmp/asn
echo done...

实际上,您可以快速保持阻止列表的最新状态,而无需使用手动导入阻止列表。

在此,它只是了解您的使用案例/平台,以自动化脚本以满足您的个人需求。


source
1
这实际上是一个评论,而不是原始问题的答案。要对作者进行批评或要求澄清,请在帖子下方留言 - 您可以随时评论自己的帖子,一旦您有足够的声誉,您就可以对任何帖子发表评论。请阅读为什么我需要50个声誉才能发表评论?我该怎么做?
DavidPostill
-1

好吧,虽然Mun的答案是找到ASN 的答案,但它依赖于静态检查/更新,然后粘贴到拒绝列表/防火墙。我一直在使用APF太久了。通过配置,我意识到CSF防火墙可以通过ASN和/或国家代码(ISO)进行阻止。它查询Maxmind GEOIP数据库。这是desc/etc/csf/csf.conf

部分:国家/地区代码列表和设置

CIDR的国家代码允许/拒绝。在以下两个选项中,您可以允许或拒绝整个国家/地区的CIDR范围。CIDR块是从Maxmind GeoLite国家数据库http://www.maxmind.com/app/geolitecountry生成的 ,完全依赖于可用的服务

指定双字母ISO国家/地区代码。iptables规则仅适用于传入连接

此外,ASN号码也可以添加到下面以逗号分隔的列表中,这些列表也列出了国家/地区代码。国家/地区代码的相同警告适用于ASN的使用。有关自治系统编号(ASN)的更多信息:http//www.iana.org/assignments/as-numbers/as-numbers.xhtml

使用以下任何选项时,应考虑使用LF_IPSET

警告:这些列表永远不会100%准确,某些ISP(例如AOL)会为其客户使用非地理IP地址指定

警告:某些CIDR列表很大,每个列表都需要传入iptables链中的规则。这可能导致显着的性能开销,并且在某些情况下可能导致服务器无法访问。出于这个原因(以及其他),我们不建议使用这些选项

警告:由于VPS服务器上的资源限制,除非您选择非常小的CC区域,否则不应在此类系统上使用此功能

警告:CC_ALLOW允许通过防火墙中的所有端口进行访问。因此,CC_ALLOW的使用可能非常有限,首选CC_ALLOW_FILTER

每个选项都是以逗号分隔的CC列表,例如“US,GB,DE”

有问题的conf选项包括:

CC_DENY=""

CC_ALLOW=""

在conf文件中有更多特定的过滤器,以进一步修复阻塞。

dhaupin
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.