Я хочу автоматически блокировать IP-адрес, который сканирует мой сервер (обнаруженный с помощью портала), на котором находятся несколько веб-сайтов.
Я не знаю, какой уровень выбрать для запрета диапазонов IP. / 24, / 16 другое? С какого уровня существует риск ложных срабатываний (блокировка легитимного трафика)?
Пример: этот IP пытается атаковать: 100.100.100.100, если я заблокирую 100.100.100.0/24 или 100.100.0.0/16, это рискованно? Какой уровень наиболее подходящий?
Если вы просто хотите остановить злоумышленника, вам обычно удастся заблокировать немедленную блокировку IP. Я бы не пошел дальше этого.
Например, представьте, что на меня напал Vodaphone Australia.
В конечном итоге вам решать, насколько серьезна атака и сколько потенциально легитимного трафика вы можете потерять. Мы не можем помочь с этим.
редактировать Если вы хотите сделать это программно, whois поможет вам:
# Stackoverflow
whois 199.115.115.119 | grep -o "inetnum:.*"
# inetnum: 199.0.0.0 - 199.255.255.255
Даже блокировка одного IP-адреса может заблокировать большой объем легитимного трафика. Были времена, когда целая страна имела один IP-адрес. Еще в 2009 году блокировка 82.148.97.69 заблокировала бы тысячи людей (хотя не весь Катар, как иногда сообщается).