Python ipset iptables 实现蜜罐 自动封堵扫描者IP

蜜罐可以诱捕入侵者,但无法实时封堵入侵者,必须在事后通过日志进行手工封堵。

有没有什么办法可以实现自动封堵入侵者IP?

iptables 实际上是带这个功能的,它是基于 ipset 实现的。通过 iptables 规则可以自动添加 ipset ,然后对添加的 ipset 应用 DROP 规则即可实现自动封堵扫描者IP。

首先我们要构造一个简易版蜜罐,代码如下:

#!python3

from flask import Flask

from flask import request

import sys

app = Flask(__name__)

@app.route('/')

def ip():

    ip = request.remote_addr

    return ip

if __name__ == "__main__":

    app.run(host="0.0.0.0", port=sys.argv[1])

启动一个 screen 会话,运行简易版蜜罐,蜜罐端口为 12345

python3 ./honey_pot.py 12345

定义的蜜罐端口,如果存在“入侵者”扫描,则将对方列为黑名单进行封堵。

下一步是安装 ipset,ipset 是 iptables 的扩展,可以单独使用,也可以被 iptables 识别。

centos系统安装命令为:

yum install ipset

创建一个蜜罐的 set,命令:

ipset create honey-pot hash:ip

其中 honey-pot 是 set 名,名字可以自己取,后面会用到。

创建好空的 ipset ,下一步是添加 iptables 自动规则

iptables -I INPUT -p tcp --dport 12345 -j SET --add-set honey-pot src

以上命令的意思是,如果有人访问 12345 端口,则将访问者的地址加到 honey-pot 组里去。

我们在另一台机器中通过 curl 试一下规则是否生效:

curl 192.168.10.200:12345

在防御端查看 ipset 组是否生效

ipset list honey-pot

此时创建的 honey-pot 对象组中已经自动添加了一个对象,说明诱捕功能生效。此时只是将诱捕到的IP自动添加到对象组,并没有对诱捕IP实行封堵,下一步,我们对 honey-pot 对象组实行自动封堵。

iptables -I INPUT -p tcp -m set --match-set honey-pot src -j DROP

以上命令是对 honey-pot 对象组实行 DROP 动作。当入侵者不小心扫描到了蜜罐端口,对方IP就会自动写入 honey-pot 对象组,然后就自动被封了。

带 ipset 的 iptables 规则和普通规则一样,都可以使用 Iptable -D 进行删除管理,如果发现误封了友军,可以在 iptables 中设置白名单放行。我们通过 iptables -nL --line-number 查看生效的规则。

前三条规则为:

执行 iptables-save 可以查看规则写法

iptables -A INPUT -p tcp -m set --match-set honey-pot src -j DROPiptables -A 

INPUT -p tcp -m tcp --dport 12345 -j SET --add-set honey-pot srciptables -A 

INPUT -p tcp -m tcp --dport 12345 -j ACCEPT

除了基于 iptables 自动添加 IP 对象组,ipset 自身也是可以单独进行维护的。

ipset 常用操作

ipset list [SETNAME] ,命令列出对象组的相关信息,包含组内成员。如果不加 SETNAME 则显示所有对象组。

ipset create [SETNAME] hash:ip ,用来创建对象组。

ipset destroy [SETNAME] , 用来销毁对象组。

ipset flush [SETNAME],用来清空一个已有的对象组。

最后给出单独维护对象组的例子,从对象组中删除或添加一个IP对象

ipset del honey-pot 192.168.10.23

ipset add honey-pot 192.168.10.23

当出现误操作时,可以对 ipset 中的对象组进行单独维护,从对象组中添加或删除 IP 对象。

原文连接:https://mp.weixin.qq.com/s?__biz=Mzk0MTI4NTIzNQ==&mid=2247486436&idx=1&sn=9411aa569cac795886e2b6c3e47a376f&chksm=c2d581f8f5a208ee9e669f29638e6fd2dc3892f55cdaae2e41b7176dfc7cff49fb7928a26f84&exptype=unsubscribed_card_recommend_article_u2i_mainprocess_coarse_sort&expsessionid=0&scene=169&subscene=10000&sessionid=1651547786&clicktime=1651547794&enterid=1651547794&ascene=56&devicetype=android-29&version=28000033&nettype=WIFI&abtest_cookie=AAACAA%3D%3D&lang=zh_CN&session_us=gh_9b5e6ec6437c&exportkey=AztW11tLhnR9JwwwHI%2Bg0Qs%3D&pass_ticket=%2FTCNY%2FewXsrEKTcBuPsD6EbfkTTlrdlXEXR9l%2BANA%2BIO%2FB%2Ba4wVrCJmAFp%2BOBQm2&wx_header=3

Python ipset iptables 实现蜜罐 自动封堵扫描者IP的更多相关文章

  1. ipset和iptables配合来自动封闭和解封有问题的IP

    iptables封掉少量ip处理是没什么问题的,但是当有大量ip攻击的时候性能就跟不上了,iptables是O(N)的性能.而ipset就像一个集合,把需要封闭的ip地址放入这个集合中,ipset 是 ...

  2. 在Python命令行和VIM中自动补全

    作者:gnuhpc 出处:http://www.cnblogs.com/gnuhpc/ 1. VIM下的配置: wget https://github.com/rkulla/pydiction/arc ...

  3. Spring学习笔记之 Spring IOC容器(二) 之注入参数值,自动组件扫描方式,控制Bean实例化方式,使用注解方式

     本节主要内容:    1. 给MessageBean注入参数值    2. 测试Spring自动组件扫描方式    3. 如何控制ExampleBean实例化方式    4. 使用注解方式重构Jdb ...

  4. python版恶俗古风自动生成器.py

    python版恶俗古风自动生成器.py """ python版恶俗古风自动生成器.py 模仿自: http://www.jianshu.com/p/f893291674c ...

  5. Iptables DDOS/CC 自动屏蔽脚本

    Iptables DDOS/CC 自动屏蔽脚本 May 20, 2013 最近不停地被 CC (DDOS的一种)频繁干扰,分享一个 iptables 屏蔽 DDOS 的脚本.让 crond 每分钟运行 ...

  6. python scapy的用法之ARP主机扫描和ARP欺骗

    python scapy的用法之ARP主机扫描和ARP欺骗 目录: 1.scapy介绍 2.安装scapy 3.scapy常用 4.ARP主机扫描 5.ARP欺骗 一.scapy介绍 scapy是一个 ...

  7. python多线程与多进程--存活主机ping扫描以及爬取股票价格

    python多线程与多进程 多线程: 案例:扫描给定网络中存活的主机(通过ping来测试,有响应则说明主机存活) 普通版本: #扫描给定网络中存活的主机(通过ping来测试,有响应则说明主机存活)im ...

  8. python恶俗古风诗自动生成器

    # -*- coding:utf-8 -*- #模仿自: http://www.jianshu.com/p/f893291674ca#python恶俗古风诗自动生成器from random impor ...

  9. 对于pycharm和vscode下,从外部复制文本内容为python字符串内容是会自动加\u202a解决办法

    先来看下这个python3源代码,表面上看没有语法毛病,如果源代码字符串内容是手动复制过来的文本内容,在pycharm和vscode下始终提示: pywintypes.error: (2, 'Shel ...

  10. python每个文件都需要顶部注释,那今天介绍一个方法,只需要设置一次,下次新建python文件后,注释自动出现在顶部的方法

    python每个文件都需要顶部注释,那今天介绍一个方法,只需要设置一次,下次新建python文件后,注释自动出现在顶部的方法 只需要在file -----settings------file and ...

随机推荐

  1. js获取select标签的 value 和 text

    <select name="" id="test"> <option value="a1">yi</optio ...

  2. 全新适配鸿蒙生态,Cocos引擎助力3D应用开发

    原文链接:https://mp.weixin.qq.com/s/rCACesJ4QxRuU2NRjIvbDQ,点击链接查看更多技术内容: 一.适配HarmonyOS背景 HarmonyOS 3.1版本 ...

  3. IIS 加载32dll失败

    前言 遇到一个这样的问题,因为在一个项目中是32位的,至于为什么是32位的呢,因为调用的都是老库,32位的,部署到iis出现错误如下: Server Error in '/' Application. ...

  4. PS(Photoshop CC2019)安装教程

    记录一下自己安装PS2019版本的安装过程~ 先获取安装资料: 百度网盘链接: 链接:https://pan.baidu.com/s/15tzmq-6JQCdVn378ZFqXJA?pwd=997y  ...

  5. 阿里云EMAS移动测试,帮您快速掌握移动端兼容性测试技巧

    简介: 兼容性测试用于验证应用在不同设备上进行安装/启动/登录/不同版本覆盖安装/卸载等操作时,是否存在兼容性问题:如界面适配问题.应用性能等,现阿里云EMAS套餐免费试用,帮您快速掌握移动端兼容性测 ...

  6. 【视频特辑】提效神器!如何用Quick BI高效配置员工的用数权限

    ​简介:随着企业数字化进程逐步加速,企业所产生和积累的数据资源日益增多.每当员工的用数权限发生变动,管理员都需要进行复杂繁琐的重复性配置流程,不仅耗时耗力还容易出错. 如何能便捷地对员工用数权限进行高 ...

  7. RAG 工具和框架介绍: Haystack、 LangChain 和 LlamaIndex

    Haystack. LangChain 和 LlamaIndex,以及这些工具是如何让我们轻松地构建 RAG 应用程序的? 我们将重点关注以下内容: Haystack LangChain LlamaI ...

  8. [FAQ] 英文字母输入时变成了胖体

    如下,在输入法上右键,切换为 "半角" 即可. Link:https://www.cnblogs.com/farwish/p/17513598.html

  9. [Py] Python json str 字符串转为对象 (字典)

    import json json = '{"code": 0}' # Deserialize ``s`` (a ``str``, ``bytes`` or ``bytearray` ...

  10. 2024 年最值得推荐的 7 个 Vue3 组件库

    你好,我是 Kagol. Vue 是一款易学易用,性能出色,适用场景丰富的渐进式 JavaScript 框架,深受广大开发者的喜爱,Vue3 更是推出了 Composition API,让逻辑复用更友 ...