新建高风险IP库项目(公测)【跟着大神学走路】

2021/02/14 11:55 无线路由类 25 0
 
目前互联网上充斥着大量非法链接。其中比较常见有SSH,TELNET,RDP,WINBOX,WEB密码撞库,还有DNS,NTP,MEMCACHE,SSDP等反射放大攻击。
但是在很多时候企业又不得不开放以上这些服务,于是只能以开放服务的前提下进行安全防护。
本站采用多节点,多地域大数据日志,经过合理的筛选算法将可疑的高风险IP提取出来。
使用本站提供的高风险IP库可有效提高企业网络安全。可对端口扫描,密码撞库,UDP反射攻击等高风险IP行为进行阻断。如果布置在核心出口可以进行全网防护。
由于不法分子可能随时更换IP,IP库虽然会定期更新,但是依然处于被动防御的状态,无法做到100%识别阻断。本项目仅适合作为安全辅助手段,不建议作为唯一安全手段。
由于筛选算法原因,可能出现极端情况下的误判概率,请做好后备方案。

更新时间: 2021/01/26
更新内容:调整筛选算法,减少误判概率。

更新时间: 2021/01/20
更新内容:新增自动更新脚本,包含mikrotik系统和linux系统,均可以实现定时自动更新高危IP库。
 
更新时间: 2021/01/15
更新内容:增加IP活跃期判断,90天内不活跃的IP将从高风险IP剔除。毕竟要给别人改过自新的机会对不?:D
 
更新时间: 2021/01/12
更新内容:更新识别算法,扩大识别范围。增加高风险IP子网计数器,可以统计22-32之间子网的数量。

更新时间: 2021/01/06
更新内容: linux版本从iptables命令改为iptables-restore导入文件,提高安全性和执行效率。如果某个C段的高风险IP数量超过40个,则会屏蔽整个C段IP。

高风险IP库将每天自动更新到OSS一次,大家可以做脚本每天自动更新,也可以手动下载更新。

mikrotik导入例子/imp scaners.rsc

linux导入例子 iptables-restore < scaners.bak

mikrotik自动导入脚本(可利用scheduler设置定时一天执行一次)需要导入CA证书,CA证书文件见附件

  1. :do [/tool fetch url="https://cache-1.oss-cn-beijing.aliyuncs.com/file/scaners.rsc" dst-path=scaners.rsc check-certificate=yes]  

  2. :delay 10s  

  3. :if ([/file find name="scaners.rsc"] != ""do={  

  4. /ip firewall address-list remove [find list="scaners"]  

  5. :delay 2s  

  6. /imp scaners.rsc  

  7. :delay 5s  

  8. /file remove [find name="scaners.rsc"]  

  9. :log warning "扫描者黑名单更新完成"}  

linux自动导入脚本(可利用crontab设置定时一天执行一次)

  1. #!/bin/sh  

  2. PATH=$PATH:/sbin:/bin:/usr/sbin:/usr/bin  

  3. wget -q -O /root/upfw.bak https://cache-1.oss-cn-beijing.aliyuncs.com/file/scaners.bak  

  4. sleep 10s  

  5. iptables -F  

  6. sleep 5s  

  7. iptables-restore </root/upfw.bak  

  8. sleep 5s  

  9. rm /root/upfw.bak  


mikrotik设备(import导入):https://cache-1.oss-cn-beijing.aliyuncs.com/file/scaners.rsc

linux设备(iptables-restore导入):https://cache-1.oss-cn-beijing.aliyuncs.com/file/scaners.bak

oss-cn-beijing-aliyuncs-com-chain.pem.txt (下载后将TXT去掉)

scaners.rsc.txt (下载后将TXT去掉)

转自大猫猫

声明:本文由mmor发布,如需转载请注明出处。