2015/01/12

<ネット攻撃対策> 中国一部からのportscanを拒絶処理

先日からOpensimサーバーへportscanをかけてくる中国IPを拒絶することにしました。
(アタシんところのOpensimサーバーへ本当に来られる中国人なんていないはず~?)

IPアドレスからNetworkアドレス・マスクを、以下のところで計算しました。
http://www.cityjp.com/javascript/network/ipcal.html

数回以上のportscanをかけてきたところは、以下の通りです。
123.151.42.61   CHINANET-TJ  天津
125.64.35.68  CHINANET-SC  四川
183.60.48.25  CHINANET-GD  広東

旅行で行った天津や広東が目に浮かびますが、無法者を放置するCHINANETはダメ!
ufwにて上位行でブロックするルールを以下のように追加します。
$ sudo ufw insert 1 deny from 123.151.0.0/16 to any port 9000
$ sudo ufw insert 2 deny from 125.64.0.0/16 to any port 9000
$ sudo ufw insert 3 deny from 183.60.0.0/16 to any port 9000



IPアドレスからネットワークアドレスに変換するところが、自信ありません。
個々のHostを羅列するのは、今後とも骨が折れそうで、広めにブロックします。

iptablesで確認しておきます。
$ sudo iptables -L



Chain ufw-user-input (1 references)
target     prot opt source              destination
DROP       tcp  --  123.151.0.0/16      anywhere      tcp dpt:9000
DROP       udp  --  123.151.0.0/16      anywhere      udp dpt:9000
DROP       tcp  --  125.64.0.0/16       anywhere      tcp dpt:9000
DROP       udp  --  125.64.0.0/16       anywhere      udp dpt:9000
DROP       tcp  --  183.60.0.0/16       anywhere      tcp dpt:9000
DROP       udp  --  183.60.0.0/16       anywhere      udp dpt:9000
ACCEPT     tcp  --  anywhere            anywhere      tcp dpt:9000
ACCEPT     udp  --  anywhere            anywhere      udp dpt:9000
ACCEPT     udp  --  anywhere            anywhere      udp dpt:9001
ACCEPT     udp  --  anywhere            anywhere      udp dpt:9002
ACCEPT     udp  --  anywhere            anywhere      udp dpt:9003
ACCEPT     udp  --  anywhere            anywhere      udp dpt:9004
ACCEPT     udp  --  anywhere            anywhere      udp dpt:9005
ACCEPT     udp  --  anywhere            anywhere      udp dpt:9006
ACCEPT     udp  --  anywhere            anywhere      udp dpt:9007
ACCEPT     udp  --  anywhere            anywhere      udp dpt:9008
ACCEPT     tcp  --  192.168.**.**       anywhere      tcp dpt:****
ACCEPT     udp  --  192.168.**.**       anywhere      udp dpt:****

念のため再起動をかけておきます。

イタチごっこになるかも知れませんが、楽しみながら追加していきます。
踏み台にされる前に、きちっと防御しておきたいですよね。

-----------------------------------------------------------------------------
(追記150114)
ネット名の指定が不適正で、以下のように修正追加しました。
(情報元 http://www.ip2location.com/free/visitor-blocker )

$ sudo ufw insert 1 deny from 123.144.0.0/12 to any port 9000
$ sudo ufw insert 2 deny from 125.64.0.0/11 to any port 9000
$ sudo ufw insert 3 deny from 183.0.0.0/10 to any port 9000
$ sudo ufw insert 4 deny from 183.64.0.0/13 to any port 9000

0 件のコメント:

コメントを投稿