菜鸟笔记
提升您的技术认知

如何封禁大量恶意IP?

摘要:封禁IP分为自动封禁和人工封禁,本文主要介绍如何人工封禁。人工封禁的关键是:无缝协同,方便操作,批量化,一键式,防误封,高容量。

IP封禁是对付网络攻击的最直接、最有效的方法。

在网络安全防御体系中,有些系统和设备,可以通过TCP reset、返回HTTP错误等方式自动拦截,或是联动防火墙进行自动封禁,但这是不够的。在真实的防守场景下,人工封禁是必不可少的。

人工封禁主要是对监控发现和情报传递的恶意IP进行封禁。如何在短时间内,在多台防火墙上(企业可能会有多个互联网出口)迅速封禁,值得研究和优化。

本文总结了一些实用的方法,仅供参考。

1. 无缝协同

应该有一个协作平台,至少提供在线文档和即时通信,安全监测人员可以通过在线表格,及时上报各种攻击行为及其IP,网络封禁人员实时查看表格,在IP封禁系统中填入IP,然后一键下发到企业所有互联网出口的防火墙上。

2. 一键下发

企业应建设IP封禁系统,可以在运维自动化系统中建设该模块,也可单独建设。

主要思路是,通过防火墙的API或者SSH方式,实施自动化的登录和操作。

应能够预先选择多台防火墙。

操作员只需要填入IP,或导入批量IP,即可生成将恶意IP加入黑名单的封禁命令,然后下发到预先选择的多台防火墙中。

如果在一定时间内没有页面操作,应强制再次认证。

相应地,应该有对应的解封操作页面。

3. 优先黑名单

主流防火墙提供黑名单封禁和安全策略封禁两种封禁方式。

黑名单封禁方式能立刻中断被封禁IP的现有连接,并禁止后续连接。

安全策略封禁方式完成配置后,可禁止相应IP的后续连接,但不能断掉现有连接。

所以,对监控发现的攻击IP,应优先采用黑名单封禁。

对于大量的情报IP(成千上万),可使用安全策略方式批量封禁。

4. 容量管理

主流防火墙的黑名单容量通常在2万-10万个IP之间,在黑名单封禁IP数量达到容量的50%时,应考虑将黑名单中的封禁IP分批迁移到安全策略中(容量通常在百万级别或者无限制),保障黑名单始终保持充足容量以应对大量突发攻击。

安全策略是关联到IP地址组的,对于主流防火墙而言,每个IP地址组也有容量上限(通常在1000-3000个之间),在做黑名单IP迁移和情报批量导入时,应做好分组管理,地址组命名规则以日期组合序号为宜,如Block20220810-01、Block20220810-02等,以便于封禁IP的查询和回溯。

5. 防误封

为了防止误封,IP封禁系统应实现白名单功能,将企业自有的公网出口IP、合作单位IP等加入白名单。实施封禁时,系统自动对待封禁IP进行白名单检查,防止误封IP导致业务故障。

将IP添加到白名单时,应详细记录加入的原因、关联业务、需求人、操作人、操作时间等,便于管理和追溯。

此外,自动进行合理性检查,尤其是检查带子网掩码的IP,防范因掩码错误导致大网段封禁,此类高危操作应自动强制进入短信审批流程。

因为,我见过有人要封1.2.3.4/32,结果手一抖,封成了1.2.3.4/3。

学过网络的,都知道这是什么意思。

6. 总结

尽可能自动化,尽可能防范误操作,会让你更轻松一点。