V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
nnnToTnnn
V2EX  ›  问与答

[疑惑] 关于网络 IP 地址疑惑。

  •  
  •   nnnToTnnn · 2019-09-03 10:05:49 +08:00 · 2857 次点击
    这是一个创建于 1915 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近从 google 云迁移下来了,迁移到其他的小机房了。

    因为一直是在 google 中采用证书登入很方便,在三方中默认采用密码登入。( PS: 主要是懒得配置 =。= )

    突然发现(顺带 CPOY 了一把 iptables,设置登入间隔)

    • 218.92.0.180 4853 多次 ssh 登入被 ban 了
    • 218.92.0.147 126 多次的时候被 ban 了

    因为是配置极低的小型机,没有采用 ssh 证书模式登入

    大部分 IP 只是试探性的跑一下密码,而且这边设置超过多少次就歇歇,大部分都没有这么执着

    只有 218.92.0.0/24 这个网段的计算机这么耿直 。。。 就这么耿直 =。=

    1. 这样跑密码真的有利益么?
    2. 218.92.0.0/24 IP 段的是云服务器,还是家用宽带 ?
    26 条回复    2019-09-04 10:26:03 +08:00
    heijiaotuan
        1
    heijiaotuan  
       2019-09-03 10:07:10 +08:00
    都是肉鸡
    nnnToTnnn
        2
    nnnToTnnn  
    OP
       2019-09-03 10:12:38 +08:00
    @heijiaotuan 好吧,我说怎么这么耿直 (。・ω・)ノ
    shiji
        3
    shiji  
       2019-09-03 10:15:18 +08:00 via iPhone
    努力刻苦,坚持不懈,有枣没枣打三杆子 是人民难能可贵的精神
    flynaj
        4
    flynaj  
       2019-09-03 10:27:44 +08:00 via Android
    改一下默认端口,不要用 22,自动化的扫描就不会尝试了
    nnnToTnnn
        5
    nnnToTnnn  
    OP
       2019-09-03 10:29:26 +08:00
    @flynaj 不是啊,改端口并不是解决方案。 这个属于自己骗自己,别人一样可以扫描端口号
    qping
        6
    qping  
       2019-09-03 10:35:11 +08:00
    密钥登陆配置其实很方便,只要一行命令。
    ```
    ssh-copy-id <username>@<host>
    ```
    flynaj
        7
    flynaj  
       2019-09-03 10:39:52 +08:00 via Android
    @nnnToTnnn 如果是人工扫描当然没有用,我 10 多年都是这样搞得,看看改端口前后的日志你就明白了。
    nnnToTnnn
        8
    nnnToTnnn  
    OP
       2019-09-03 10:47:15 +08:00
    @flynaj 自动扫描的错误超过阀值了,直接 ban 掉他的 ip 地址就好了,如果换端口,这个显然解决不了问题

    cron + shell 脚本 就可以实现,如果是改端口,这个显然就是只是绕过这个特征的机器人。(。・ω・)ノ
    nnnToTnnn
        9
    nnnToTnnn  
    OP
       2019-09-03 10:47:38 +08:00
    @flynaj 顺便学习下 iptable 和 shell =。=
    msg7086
        10
    msg7086  
       2019-09-03 11:21:01 +08:00
    @nnnToTnnn #8 纠正一下错别字 XD
    zylyye
        11
    zylyye  
       2019-09-03 11:24:28 +08:00
    更换默认端口的确有效,我每次都改默认端口,登录日志少很多,基本没有
    NSAgold
        12
    NSAgold  
       2019-09-03 11:28:59 +08:00 via Android
    把 ssh 端口改成 3389 试试
    登录日志会少很多
    一般没多少人能想到 ssh 端口号在 rdp 默认端口号上的
    nnnToTnnn
        13
    nnnToTnnn  
    OP
       2019-09-03 11:31:36 +08:00
    @msg7086

    将登入错误以频率设置阀值,如果某个 IP 的登入频率比较高,可以通过防火墙设置黑名单(具体到端口 cron + shell ),

    换端口,从系统安全的角度上来说,并没有实质的去解决这个问题
    amaranthf
        14
    amaranthf  
       2019-09-03 12:08:02 +08:00
    @nnnToTnnn 安全呢,就是为了防贼,你说,你是把家的地址直接报出来让贼试锁更安全,还是把地址隐藏在六万多个随机的门牌号上,让贼先找到门牌号再来试锁更安全?
    ysc3839
        15
    ysc3839  
       2019-09-03 12:12:45 +08:00 via Android
    @nnnToTnnn 那 22 端口放个假的 SSH 服务,对方发现 22 端口开着还是 SSH 那就不会尝试真的了。
    ooxxcc
        16
    ooxxcc  
       2019-09-03 12:15:42 +08:00   ❤️ 1
    @nnnToTnnn
    阈 yù值
    阈 yù值
    阈 yù值

    閾 ( yù ) ,或阈值,又叫临界值或門檻值。英语中的同义词是 threshold。
    winterbells
        17
    winterbells  
       2019-09-03 12:16:55 +08:00 via Android
    @amaranthf 这贼一秒跑 100 个地址,发现没有门就走了
    explore365
        18
    explore365  
       2019-09-03 12:17:08 +08:00
    22 端口开个蜜罐,哈哈哈哈哈
    shansing
        19
    shansing  
       2019-09-03 12:17:45 +08:00
    更换 SSH 端口在 99% 的情况下都是有效的。机器人扫描几乎都是针对 22 端口。当然你可以说这没有“实质”解决问题,但这只是对你机器针对性攻击来说的。花点小时间换个端口能应付“广撒网”的爆破,减少屏蔽 IP 的时间空间资源,何乐而不为呢?
    mansurx
        20
    mansurx  
       2019-09-03 12:33:28 +08:00
    当前 IP 218.92.0.180
    地理位置 中国江苏连云港
    运营商 电信
    时区 Asia/Shanghai UTC+8
    地区中心经纬度 34.592098, 119.364998
    IDC 该 IP 段为 IDC 机房使用,可能包括部分骨干网数据。
    数据 网络安全风控基础数据
    威胁情报 恶意攻击:2019-09-03
    nnnToTnnn
        21
    nnnToTnnn  
    OP
       2019-09-03 14:42:30 +08:00
    @ooxxcc ... 下次我写临界值 =。= 话说我还真没注意 。。。
    ys0290
        22
    ys0290  
       2019-09-03 14:47:52 +08:00 via iPhone
    假设一个 excel 每一行一个 ip,每一列一个端口,你看扫描是扫 22 端口列有效率还是所有列都扫有效率。当然瞅准你的 ip 全端口扫描属于和你有仇的
    msg7086
        23
    msg7086  
       2019-09-03 14:55:19 +08:00
    @nnnToTnnn 我都提醒你了。
    ShangAliyun
        24
    ShangAliyun  
       2019-09-03 15:03:52 +08:00
    公网环境就是这么恶劣
    你要是用弱密码,甚至会意外收获一些东西。
    我测试过一台机器,就白捡了一哥黑客留下的 3389 爆破工具软件,还带了密码字典配置
    akira
        25
    akira  
       2019-09-04 02:21:08 +08:00
    任何 linux 服务器拿到手,第一步就是改端口。
    julyclyde
        26
    julyclyde  
       2019-09-04 10:26:03 +08:00
    @amaranthf 对于计算机来说六万多和一个没太大区别。计算机又不会累
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2046 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 41ms · UTC 01:00 · PVG 09:00 · LAX 17:00 · JFK 20:00
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.