Come posso bloccare un host con ASN? Esempio: AS16276

5

Ci sono una manciata di padroni di casa particolarmente tossici là fuori. Non c'è motivo per cui dobbiamo consentire a nessuno dei loro IP di accedere ai nostri server. C'è un modo per bloccarli usando il loro ASN o altro identificatore globale? Preferirei farlo in HTACCESS per la portabilità dell'app / server, ma anche APF va bene.

Un esempio potrebbe bloccare i seguenti host. Oltre il 50% dei loro IP sono già in blacklist o gestiscono punti di uscita proxy per aziende come PacketFlip:

  • AS4134 - ChinaNet
  • AS9808 - Guangdong Mobile Com
  • AS16276 - OVH SAS
  • AS15003 - Nobis Tech Group
  • AS36352 - ColoCrossing
  • AS29761 - QuadraNet
  • AS15895 - Kyivstar PJSC
  • AS50915 - S.C. Everhost S.R.L.
  • AS53889 - Micfo
  • AS57858 - Fibra griglia OU
networking  firewall  blocking  htaccess 
dhaupin
fonte

Risposte:

5

Puoi usare https://www.enjen.net/asn-blocklist/

Un esempio: colocrossing: https://www.enjen.net/asn-blocklist/index.php?asn=AS36352&type=htaccess

Se devi scaricarlo su un server e non vuoi html, aggiungi & amp; api = 1 alla fine del link.

Mun
fonte
1
Benvenuto in SuperUser.SE. Nella tua risposta, sarebbe meglio se tu potessi fornire alcune informazioni sui siti web nel caso in cui cambino il loro indirizzo.
LDC3
Cosa intendi?
Mun
1
A volte i siti web cambiano il loro indirizzo in modo che i link che pubblichi non funzionino. Se descrivi come vanno i link, quando un link viene interrotto, alcune persone potrebbero trovarlo effettuando una ricerca sul web.
LDC3
2
ricerca abbastanza semplice asn-blocklist su google. Non dovrebbe però cambiare indirizzo.
Mun
1
@Mun Grazie, è esattamente ciò di cui avevo bisogno, specialmente con la funzionalità API. @ LDC3 il collegamento è un creatore di liste nere di ASN. Rende vari elenchi di IP compatibili con l'incollamento per rendere il pacchetto ASN completo. Immagino che una ricerca G sarebbe qualcosa come "ASN htaccess block maker" ...
dhaupin
5

Check-out mod_asn :

mod_asn è un modulo Apache che utilizza i dati di routing BGP per cercare il sistema autonomo (AS) e il prefisso di rete (subnet) che contiene un dato indirizzo IP (client).

mod_asn è utilizzabile come modulo standalone e il risultato della ricerca può essere utilizzato da script o altri moduli Apache. Ad esempio, un redirector di download potrebbe basare le sue decisioni sul risultato della ricerca fornito da mod_asn.

Non ho alcuna esperienza diretta con questo, ma sembra promettente.

Qualcuno con esperienza diretta con questo modulo dovrebbe sentirsi libero di modificare questa risposta per aggiungere dettagli specifici rilevanti.

Inoltre, è possibile parlare con l'amministratore di rete per bloccare o ignorare questi codici ASN sul router, quindi non è necessario creare un problema di configurazione dell'applicazione. Uno svantaggio (maggiore?) Dell'approccio mod_asn è che non impedisce agli indirizzi IP maliziosi di tentare di attaccare altri servizi sul proprio host o sulla rete, ma farà cadere solo le richieste HTTP / HTTPS ai server Apache configurati.

webmarc
fonte
Li ignorerebbero al router tramite IP o qualcos'altro? E grazie di non averne mai sentito parlare, sembra piuttosto bello. Per ora rimango a segnare la risposta, nel caso in cui anche altri abbiano pensieri. Qualche utente mod_asn ha dei suggerimenti?
dhaupin
Con ASN, i router parlano BGP e sanno come filtrare da ASN
webmarc
0

Quindi riguardo a questa affermazione: CSF Volevo chiarire alcune cose. Puoi automatizzare con asn-blocklist. Tutto quello che devi fare è aggiungere '& amp; api = 1' alla fine del tuo url. Per esempio: https://www.enjen.net/asn-blocklist/index.php?asn=AS36352&type=nginx&api=1

Questo scaricherà una versione originale del file senza alcun html. Tutto ciò che devi fare dopo questo è automatizzare con un semplice script bash sull'utilizzo di wget, la copia sul vecchio file e il ricaricamento del tuo programma (nginx). 

#!/bin/bash

mkdir /tmp/asn
cd /tmp/asn

wget --content-disposition "https://www.enjen.net/asn-blocklist/index.php?asn=AS36352&type=nginx&api=1"
wget --content-disposition "https://www.enjen.net/asn-blocklist/index.php?asn=AS133165&type=nginx&api=1"
## Repeat wget here for all the asns you want. 

cp /tmp/asn/* /etc/nginx/conf.d/
service nginx reload

rm -rf /tmp/asn
echo done...

In effetti, è possibile aggiornare rapidamente la / e lista / i bloccata / e, senza l'uso dell'importazione manuale della / e blocklist.

In questo modo è sufficiente comprendere la tua custodia / piattaforma di utilizzo per automatizzare lo script in base alle tue esigenze personali.

Mun
fonte
1
Questo è davvero un commento e non una risposta alla domanda originale. Per criticare o richiedere chiarimenti da un autore, lascia un commento sotto il loro post - puoi sempre commentare i tuoi post, e una volta che hai sufficiente reputazione tu potrai commentare qualsiasi post . Si prega di leggere Perché ho bisogno di 50 reputazione per commentare? Cosa posso fare invece?
DavidPostill
-1

Ok, anche se La risposta di Mun è azzeccato per la ricerca di ASN, si basa su controlli / aggiornamenti statici per poi incollarli in liste di negazione / firewall. Utilizzo APF da troppo tempo. Guardando attraverso le configurazioni, mi sono reso conto che il firewall CSF ha un'opzione da bloccare tramite ASN e / o codice paese (ISO). Si interroga il database GEOIP di Maxmind. Ecco la descrizione di /etc/csf/csf.conf

SEZIONE: Elenchi e impostazioni dei codici paese

Il codice paese per CIDR consente / nega. Nelle seguenti due opzioni è possibile consentire   o negare le gamme CIDR dell'intero paese. I blocchi CIDR sono generati dal   Maxmind GeoLite Country database http://www.maxmind.com/app/geolitecountry e si basa interamente sul fatto che il servizio sia disponibile

Specificare i codici paese ISO a due lettere. Le regole di iptables sono per   solo connessioni in entrata

Inoltre, i numeri ASN possono anche essere aggiunti agli elenchi separati da virgole   di seguito sono elencati anche i codici paese. Si applicano le stesse AVVERTENZE per i codici paese   all'uso di ASN. Maggiori informazioni sui numeri di sistema autonomi (ASN): http://www.iana.org/assignments/as-numbers/as-numbers.xhtml

Si dovrebbe considerare l'utilizzo di LF_IPSET quando si utilizza una delle seguenti opzioni

ATTENZIONE: questi elenchi non sono mai accurati al 100% e alcuni ISP (ad esempio AOL)   designazioni di indirizzi IP non geografici per i loro clienti

ATTENZIONE: alcuni degli elenchi CIDR sono enormi e ognuno richiede una regola all'interno   la catena di iptables in arrivo. Ciò può comportare prestazioni significative   sovraccarico e potrebbe rendere il server inaccessibile in alcune circostanze. Per   questo motivo (tra gli altri) non è consigliabile utilizzare queste opzioni

ATTENZIONE: a causa dei limiti di risorse sui server VPS, questa funzione dovrebbe   non essere utilizzato su tali sistemi a meno che non si scelgano zone CC molto piccole

ATTENZIONE: CC_ALLOW consente l'accesso attraverso tutte le porte del firewall. Per questo   la ragione CC_ALLOW probabilmente ha un uso molto limitato e CC_ALLOW_FILTER è   preferito

Ogni opzione è un elenco separato da virgole di CC, ad es. "USA, GB, DE"

Le opzioni di conf in questione sono queste:

CC_DENY=""

CC_ALLOW=""

E ci sono filtri più specifici sotto di esso nel file conf per bloccare ulteriormente il blocco.

dhaupin
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.