Hej, ten krótki wpis dedykuje wszystkim tym którzy prowadzą małą działalność w sieci (blog, stronę firmową, sklep internetowy itp.) a chcieli by się zabezpieczyć przed atakami płynącymi z konkretnego rejonu geograficznego. Do rzeczy, jeśli w katalogu głównym swojej strony widzisz plik .htaccess możesz go użyć do blokowania bądź nadawania praw dostępu do Twojej strony z wybranych adresów IP. Nie jest to może ochrona najwyższych lotów, ale to zawsze coś jeśli nie mamy do dyspozycji innych narzędzi.
Dla przykładu, Twoimi czytelnikami bądź klientami są głównie osoby z Polski / Unii Europejskiej prawdopodobnie nie spodziewasz się dużego zainteresowania z Chin, Iranu czy Rosji. Te Kraje są dość często wymieniane w czołówce krajów z których przeprowadzane są różnego typu ataki.
Aby zabronić dostępu np. Rosjanom wystarczy wykonać kilka prostych kroków:
- Wejść np. tutaj - countryipblocks.net
- Wybrać Rosję (Russian Federation) z listy dostępnych krajów
- Wybrać format - Apache .htaccess Deny
- Kliknąć Create ACL - po chwili w oknie poniżej ACL Results wygenrowany zostanie zestaw adresów do blokowania
- Kopiujemy wygenerowaną listę i wklejamy na końcu naszego pliku .htaccess w katalogu głównym naszej strony
- Opcjonalnie: Dobrze jest opisać te adresy, dlatego polecam dodać jakiś opis na początku i na końcu adresów
Przykład:
#Blokada Rosji Poczatek
deny from 2.60.0.0/19
deny from 2.60.32.0/19
deny from 2.60.64.0/19
deny from 2.60.96.0/19
...
#Blokada Rosji Koniec
To chyba najprostsza czynność którą możecie podjąć gdy zauważycie podejrzany ruch pochodzący z lokalizacji które do tej pory raczej nie były głównymi odbiorcami waszych treści.
Komentarze (8)
najlepsze
@raj: poza tym takie sieci trzeba dodać do ipset i wtedy zablokować jedną regułka iptables
lista całej adresacji jest ogromna. Apache czy inny NGnX postawiony na słabej maszynie się na tym spoci.
Najlepiej odsunąć to jak najdalej od serwerów i obejmować całe grupy. Czyli pewnie prosić hostingi o to. A już najlepiej to było by przekonać takie CloudFlare żeby dali swojego WAF'a bez opłat, przynajmniej na jakiś czas.
@oio154: przeciez firewalla masz w cloudflare za free (do 5 reguł)
No faktycznie. :D