为了防止家里公网 IP 被乱扫,我做了个黑名单 IP 表

2023-12-19 14:36:38 +08:00
 pplive
新人第一次发帖
最近发现有很多奇怪的 IP 会扫描家里和 VPS 的端口
统计了下,一个小时就有 500+IP 扫我的机器,强迫症心里有点过不去
我想拦截这些 IP ,但是我不会写代码,于是我用 GPT 写了个脚本自动统计这些互联网上扫全网的 IP ,并更新到 github 上

原理:
监测到有 IP 连我 VPS 未开放的端口 -> 封禁 IP -> 每 5 分钟提交一次到 github 上
(一般谁访问我的 VPS 会先连未开放的端口呢?一定是恶意 IP )
使用方法:
定期执行防火墙脚本,封禁我这边扫到的 iplist.txt
放在 github 上面了,5 分钟更新一次: https://github.com/Narizgnaw/needtobebanned
11299 次点击
所在节点    宽带症候群
79 条回复
godall
2023-12-20 10:54:19 +08:00
你的家里 ip 不变的吗?我 1 周-10 天就会被电信强制更换。
pplive
2023-12-20 10:57:31 +08:00
@godall 会的,每 150 小时强制更换
Jasmine2016
2023-12-20 11:14:35 +08:00
贡献一个东北大学的:使用东北大学网络中心的 SSH 黑名单系统 | Lan Tian @ Blog
https://lantian.pub/article/modify-computer/neu-network-center-ssh-blacklist.lantian/
Jasmine2016
2023-12-20 11:17:36 +08:00
补充:刚刚看了一下中科大的 PPT ,原来东北大学用的也是中科大的蜜罐——
2008 年 7 月开始中国科大校园网使用这样方式来管理黑名单,有安徽 4 所大学,省外 3 所(东北大学、兰州大学、电子科大)在使用这个黑名单。
happyxhw101
2023-12-20 12:16:48 +08:00
我的策略是, 所有服务都通过 nginx 代理, http+tcp, 然后 watch nginx access log, 只要是国外的 ip 立即加入 blockked ipset
zbowen66
2023-12-20 12:27:32 +08:00
我是用电信光猫的端口转发的,转发了 OpenVPN 、Nginx( https)、Gitea clone 用的 ssh ,正常服务直接通过域名到 nginx ,需要访问内网的时候直接 OpenVPN 回家(长时间使用时为了用上 OpenWrt 的 clash 规则也会 OpenVPN 回家),不知道我这种操作有没有风险
shyrock
2023-12-20 13:19:36 +08:00
只开 ipv6 是不是没这个担心?
reputati0n
2023-12-20 13:48:54 +08:00
上家公司做的这个社区版的雷池 waf 还不赖,我的公网暴露面基本都是通过它代理出来的
pplive
2023-12-20 13:51:46 +08:00
@shyrock 有时候挂 PT 的话,会有 IP 反向扫你的,还是需要注意一下。
pota
2023-12-20 14:38:27 +08:00
@lisonfan #42 我也接入了。现在只 openwrt 只留了一个 udp 的内网 vpn 转发还在
terrancesiu
2023-12-20 15:49:05 +08:00
在外面,基本都是 wireguard 全走家里。三个公网一个只用来 wireguard 入站,另两个出站。
dann73580
2023-12-21 03:29:17 +08:00
其实我感觉 ip 禁 ping+failban 差不多够用了,再往上走一层就用 wg 。
caobug
2023-12-21 10:48:44 +08:00
封不完的,配好 fail2ban 自动就行
chhtdd
2023-12-21 11:07:16 +08:00
想知道是怎么发现:"最近发现有很多奇怪的 IP 会扫描家里和 VPS 的端口" 的,纯网络小白,好奇,谢谢解答
que01
2023-12-21 11:35:10 +08:00
我在自己的 RouterOS 上防火墙搞了这个,1.扫端口直接封半个月 2.ssh 失败就按官方的建议做了渐进封禁 直接加入黑名单。3.然后下载了中国区的国家 ip 列表,不是来自中国就直接拒绝,虽然可能有误伤但是自己用 误伤也无所谓了。现在想 log 看别人踢门都没办法了
pplive
2023-12-21 14:34:44 +08:00
@chhtdd 比如,你访问 https://x.threatbook.com/ 微步,https://fofa.info/ FOFA ,https://hunter.qianxin.com/ 鹰图这些搜索引擎,输入你的 IP 地址,就可以看到你 IP 上开了哪些端口和服务,有哪些中间件,有哪些风险。这些系统会 24 小时扫描全网的 IP 地址并为攻击者提供有效的信息。其实对固定 IP 的用户是不利的,需要这些平台的出口 IP 封禁下。封禁的判断依据就是识别这些情报平台的扫描流量的特征,流量特征进一步细化,就是要识别对同一主机的多个端口进行扫描的流量,所以我用 GPT 做了识别的脚本:如果向我的 VPS 未开放端口发送 SYN 数据包超过 3 次,就会被防火墙封禁。这就是大概的逻辑。
ButcherHu
2023-12-21 14:40:45 +08:00
可以先把云服务商的网段全屏蔽了,需要维护的 ipset 少一大半。
chhtdd
2023-12-21 15:01:11 +08:00
@pplive 大概理解了,我再深挖深挖,感谢大佬
lun9
2023-12-21 17:38:36 +08:00
很奇怪,我没开 ssh 的端口映射,群晖上的端口居然被扫描到然后尝试爆破
User [amax] from [103.78.12.14] failed to log in via [SSH] due to authorization failure.

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1001645

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX