Материал из Wiki.VDSPlanet.ru.
- Предположим, что мы используем Быстрый FIREWALL на основе IPTABLES вместе со средством Обнаружение вторжений.
- Предположим, что мы обнаружили 1000+ попыток подбора пароля с адреса 220.170.79.43
Есть ли смысл заблокировать файрволлом этот адрес? Безусловно!
Но! Скорее всего вскоре мы обнаружим попытки с адресов типа 220.170.79.49, 220.170.79.132 и т.п. Почему? Да потому, что этот адрес принадлежит провайдеру China Telecom и там (в Китае) ныне много разных script kiddies...
Как же определить адресные блоки, которые можно отфильтровать? Для этого следует воспользоваться:
- Здравым смыслом (Вам нужны только Ваши лично знакомые посетители? Или у Вас каждый клик на счету?)
- Сервисом RADb
В случае с нашим примером мы получим:
Results for Whois Query: 220.170.79.43 . Number of objects found: 1 . [Querying whois.radb.net] [whois.radb.net] route: 220.170.0.0/16 descr: China Telecom Hunan Province origin: AS4134 mnt-by: MAINT-AS4134 changed: waiting_57@yahoo.com 20030114 source: SAVVIS
И, если Вас неинтересуют китайцы, смело вносите в Ваш блэклист 220.170.0.0/16 - посетителей (и крякеров) из провинции Хунань КНР у Вас больше не будет!
- 122.192.0.0/14 CNC Group CHINA169 Jiangsu Province Network
- 221.192.0.0/14 CNC Group CHINA169 Hebei Province Network
- 123.232.0.0/14 CNC Group CHINA169 Shandong Province Network
- ...