У нас есть веб-сервер / сервер базы данных на Amazon AWS, и я недавно обнаружил, что он получает множество попыток атак с различных международных IP-адресов. После проверки нескольких, кажется, что они в основном проживают в Китае. Это вызывает проблемы с производительностью, и иногда веб-запросы полностью отбрасываются.
Разработчики и клиенты служб веб-серверов в Калифорнии являются мобильными, поэтому мы не можем определить их IP-адреса.
Поскольку меня не волнует трафик за пределами США, как мне лучше всего заблокировать это? Группы безопасности AWS на самом деле, похоже, не позволяют этого, если я не создал правила для входящих подключений, заносящие в белый список все классы IP в США, которые подошли бы, но на это уходит много времени.
Есть ли таблица диапазонов класса B или что-то еще, что я мог бы отфильтровать диапазоны США и вырезать и вставить во входящее правило брандмауэра Windows?
Мэтт,
Ты можешь пойти в https://www.countryipblocks.net/ для просмотра общих блоков стран. Однако любой тип блокировки, подобный этой, на самом деле невозможен для простого брандмауэра. На анализ всех правил потребуется уйма времени, что окажет огромное влияние на производительность вашего сервера. Я бы просто заблокировал ваш сервер для определенных портов для ваших пользователей, которые в нем нуждаются, и для портов администратора, вы можете направить своих сотрудников через jumpbox или какой-либо тип VPN на другой порт, чтобы получить такой уровень доступа. Вы всегда можете сделать одноразовую блокировку диапазонов, которые сильно вас бьют, но делать такое крупномасштабное блокирование на сервере не рекомендуется из того, что я видел.
Обновить:
В Linux я использовал ограничение скорости fail2ban, deny_hosts и iptables, чтобы заблокировать хосты, которые много общаются с сервером. Я не администратор Windows, но вы, вероятно, могли бы сделать это с помощью OSSEC и связать автоматический ответ, если произойдет X. Кроме того, после быстрого поиска в Google я вижу, что люди делали аналогичные вещи с Powershell. Вот Я нашел его, но понятия не имею, работает он или нет.