it-swarm-korea.com

웹 사이트 공격을 방지하기 위해 IP 주소 블랙리스트가 좋은 방법입니까?

내 웹 사이트에 IP 주소 블랙리스트가 있습니다. 웹 애플리케이션은 어떤 방식 으로든 유효하지 않은 의심스러운 영향을 모두 감지하고 IP 주소를 기억하고 해당 IP 주소의 모든 요청을 거부합니다.

그래서 제 질문은 이것이 좋은 습관입니까, 이런 방식으로 공격을 방지하는 방법입니까?

요약 (추가됨) :

가능한 한 모든 답변을 요약하고 싶습니다.

  • 화이트리스트 (신뢰할 수있는 위치)
  • 회색 목록 (높은 관심 목록)
  • 임시 차단
  • 정적, 동적 주소 감지
  • 스마트하고 유연한 감지
12
garik

나는 블랙리스트에 IP를 너무 많이 귀찮게하지 말라고 말할 것입니다.

  • 프록시, 작업장, 이동 DHCP를 사용하는 ISP 등 공유 IP의 상황이 많기 때문에 오 탐지가 너무 많습니다.
  • 주위를 돌아 다니는 것은 너무 쉽습니다. 진짜 나쁜 녀석은 정말로 당신을 공격하고 싶다면 다른 IP를 얻게됩니다.

IP 주소의 "회색 목록"을 제안합니다. 즉, 불량 트래픽을 인식하면 해당 주소를 "주시"합니다.

8
AviD

IP 블랙리스트가 도움이 될 수 있지만 유일한 보안 수단으로 의존하지 마십시오.

또한 IP 차단 또는 검색 엔진 봇을 금지하는 데 매우주의해야합니다. 의심스러운 영향에 대해 오 탐지 인 IP의 화이트리스트를 유지할 수도 있습니다.

5
VirtuosiMedia

의심스러운 영향이 너무 엄격하지 않은 한. 좋은 사용자를 차단하고 싶지 않습니다.

3
James T

원칙적으로 좋을 수 있습니다.

그러나 IP 주소를 차단하는 기간에 따라 다릅니다. 또한 AOL을 사용하는 사용자와 같은 일부 사용자가 프록시 서버를 통해 들어오는 것을 기억하면 많은 사용자가 동일한 IP 주소를 공유하고 결과적으로 많은 사람들을 차단할 수 있습니다. 또 다른 고려 사항은 Office, Universities 등입니다. 동일한 IP를 공유하는 컴퓨터가 여러 대있을 수 있으며 이는 사용자의 작업을 차단할 수있는 또 다른 광범위한 사람들입니다.

짧은 시간 동안 차단하거나 사용자 에이전트와 IP 주소의 조합으로 차단하여 차단 효과를 제한 할 수 있습니다.

2
Mark Davidson

때에 따라 다르지. 애플리케이션이 SMTP 서버 인 경우 들어오는 모든 트래픽이 고정 IP에서 온다고 가정 할 수 있습니다. 즉, 메시지가 동적 IP에서 온다면 일종의 봇넷에서 보낸 스팸 또는 바이러스 일 수 있습니다. 이 경우 연결을 막는 것이 정말 좋은 생각이며 좋은 습관이라고 생각합니다.

2
Paweł Dyda

일반적으로 꽤 효과적인 컨트롤이 될 수 있습니다. 한 가지 문제는 사용자가 프록시를 통해 들어오는 것인데, 이는 모두 하나의 IP 주소에서 오는 것처럼 보일 수 있으며, 하나를 차단하면 모두 차단 될 수 있습니다. 때때로 X-Forwarded-For 헤더를 사용하여 하나의 소스 IP 주소에서 요청을 구별 할 수 있지만 모든 프록시 요청에 반드시 존재하는 것은 아닙니다.

1
Rory McCune

예를 들어 Rackspace에서 일반적으로 사용자 IP 주소 인 _SERVER [REMOTE_IP]가 실제로로드 베어링 프록시 서버 인 서버 구성에주의하십시오.

그러나 REMOTE_IP 헤더는 사용자 실제 IP 측면에서 실제로 유일한 비 스푸핑 가능 헤더입니다.

예를 들어 HTTP_X_CLUSTER_CLIENT_IP 및 HTTP_X_FORWARDED_FOR (몇 가지 예를 들어)는 모두 공격자/공격 시스템에 의해 스푸핑 될 수 있습니다.

잠재적 인 헤더의 캐스케이드 접근 방식을 사용하여 입력을 필터링하려는 시도를 살펴본 많은 CMS 애드온 보안 플러그인은 잘못된 요청의 IP 주소를 금지하고 대부분의 일반 클라이언트 또는 프록시 전송 헤더를 먼저 스택하는 경향이 있으며, REMOTE_ADDR은 목록에서 마지막으로, 공격자가 우회하는 것은 사소한 일이므로 사실상 새로운 클라이언트 IP 주소가 잠재적으로 각 악성 요청과 함께 전송 될 수 있기 때문에 전체 애플리케이션이 무의미 해집니다.

클러스터 된 구성에서 잘못된 IP 주소를 금지하면 웹 사이트가 금지 될 수 있으며, 스푸핑 된 IP를 금지하도록 허용하면 공격자가 웹 서버의 스푸핑 된 IP 또는 업 라인 프록시를 웹 서버에 보낼 수있어 동일한 효과를 얻을 수 있습니다.

또는 화이트리스트에있는 IP가 사용되는 경우 공격자는 화이트리스트에있는 IP로 악성 요청을 보낼 수도 있습니다.

이 상황에서 내가 생각 해낸 가장 좋은 방법은 REMOTE_IP 이외의 다른 헤더가있는 경우 규칙 번호 1은 항상 헤더를 필터링하여 해당 헤더에 실제로 IP 주소가 포함되어 있는지 확인한 다음이를 사용하여 사용자를 결정하는 것입니다. 그러나 IP 주소는 해당 인스턴스에서 ip 금지 (사용중인 경우)를 비활성화하고 403 헤더 및 페이지 die () 호출을 사용하여 실제로 IP 주소를 금지하는 대신 실제 불량 요청을 차단합니다.

결국 무엇보다 완료하는 것을 막고 싶은 것은 불량한 요청입니다. IP 주소 금지는 공격자가 서비스 거부를 생성하기 위해 여러 익명 프록시 서버를 통해 사이트를 망치는 문제에 더 가깝습니다.

1
Taipo