一个中国 IP 地址显示在我们的日志中,因为它访问了我们的一项调查,但它之所以引人注目,是因为用户尝试在调查 URL 的末尾添加一个字符串(就像试图执行 SQL 注入攻击一样)。
由于对 IP 地址的 whois 查找来自中国,因此阻止整个 IP 范围似乎很实用。我们在香港确实有一个客户,但他们的调查针对的是来自新加坡、澳大拉西亚和美国的商业用户,而不是中国本身。
阻止 IP 地址还是保持打开状态更好?
如果它看起来不是机器人,你可以利用这一点。您可以使用虚拟数据设置另一台服务器,根据源 IP 重定向到该服务器,然后观看他们破解它。正如 Bart 在“代码审计”中所说,公司为渗透测试付费。因此,如果黑客设法通过,您可以将其提交给开发人员,您就可以从黑客那里获得免费工作:-)
我自己从来没有这样做过,但如果你有时间/资源,可能会很有趣......
取决于,再次。
如果你屏蔽了IP,改变IP并不难。
如果你挡住了范围,你会从那些无法进入但无辜的人那里得到很多附带损害。不会阻止很多人仍然阻止 IP 的国家/地区范围。
如果您有一定数量的客户可以访问相关站点...它是一个半私有数据库,仅适用于订阅者等...您可以阻止访问所有但已接受的白名单到该部分的仅限网站。
否则,您将需要保持更新、更新、更新,并定期让外部承包商审核您的代码以防止注入攻击和其他危害,并且可能在服务器上安装了类似 Tripwire 的东西来监视服务器上的可疑更改和更改(和保持良好的离线备份。不止一些站点拥有“实时”备份,一旦进入网络,这些备份会突然被黑客入侵或删除)。
根据我的经验,阻止特定站点和黑客尝试很麻烦,并且不一定能解决问题。如果它一遍又一遍地重复点击,您可以查看一个解决方案,该解决方案会发现您的网站有问题并自动阻止一段时间(有点像 SSH 的拒绝主机),所以它是一种短暂的,“已经足够了”不会永远使您的系统混乱的块。脚本化攻击很容易在某一天从左边发起攻击,然后在第二天出现在右边,你最终会绕着圈跑,追着你的尾巴试图阻止这些白痴。
确保您的服务器与 LAN 隔离,并进行分段以防止对该系统的入侵污染您网络的其余部分。审核它。查看日志中是否有可疑活动。仅在路由器上阻止真正有问题的 IP(例如拒绝服务攻击)。否则......我的投票是阻止它们很麻烦,除非你有一些自动跟踪它的方法以及一段时间后自动删除它的方法。
| 归档时间: |
|
| 查看次数: |
7498 次 |
| 最近记录: |