Firewalld -阻塞机器人和网络应用程序的渗透测试(80 / 443)

Question

看起来，渗透测试正在针对部署在我的centOS7服务器上的web应用程序运行。如何阻止来自源IP地址11.21.32.44的端口80和443上的传入请求

我会用OS防火墙阻止它，centOS7使用firewalld

从软膜文件阅读该规则应该类似于以下内容：

firewall-cmd --add-rich-rule="
  rule family='ipv4'
  source address='11.21.32.44'
  port protocol='tcp' port='443' reject"

好的，现在更好地思考，我想找到一种方法，在N个请求之后，用404 httpd响应自动阻止特定的IP地址。

Answer 1

如果是某个bot，则应该可以安全地拒绝其所有连接尝试(不管目标端口如何)。

为此，将它的IP地址或范围添加到firewalld块区域就足够了：

firewall-cmd --zone=block --add-source=203.0.113.208/29

您可以通过whois $someip查询一个日志地址，并使用ipcalc -d或一些众所周知的不需要的机器人数据库来确定范围。

当然，添加单个地址也是可能的。

您可能需要添加--permanent来持久化这些阻塞。

请注意，firewalld只是拒绝新的连接，而不是已建立的连接，这样到web服务器的已建立的连接可能仍然会填充日志。

为了摆脱那些你可以用ss杀死它们的方法：

ss -K dst 203.0.113.208

(是的，您必须使用dst作为bot的源地址)

自动化这是很棘手的，因为涉及到几个风险：

• 增加攻击面(这不是理论上的风险，您可能想搜索过去的fail2ban CVE和类似的)
• 太多的假阳性，即你的自动系统可能会阻塞，即阻塞合法的访客/客户，甚至你自己。
• ..。