Python ipset iptables 实现蜜罐 自动封堵扫描者IP

蜜罐可以诱捕入侵者,但无法实时封堵入侵者,必须在事后通过日志进行手工封堵。

有没有什么办法可以实现自动封堵入侵者IP?

iptables 实际上是带这个功能的,它是基于 ipset 实现的。通过 iptables 规则可以自动添加 ipset ,然后对添加的 ipset 应用 DROP 规则即可实现自动封堵扫描者IP。

首先我们要构造一个简易版蜜罐,代码如下:

#!python3

from flask import Flask

from flask import request

import sys

app = Flask(__name__)

@app.route('/')

def ip():

    ip = request.remote_addr

    return ip

if __name__ == "__main__":

    app.run(host="0.0.0.0", port=sys.argv[1])

启动一个 screen 会话,运行简易版蜜罐,蜜罐端口为 12345

python3 ./honey_pot.py 12345

定义的蜜罐端口,如果存在“入侵者”扫描,则将对方列为黑名单进行封堵。

下一步是安装 ipset,ipset 是 iptables 的扩展,可以单独使用,也可以被 iptables 识别。

centos系统安装命令为:

yum install ipset

创建一个蜜罐的 set,命令:

ipset create honey-pot hash:ip

其中 honey-pot 是 set 名,名字可以自己取,后面会用到。

创建好空的 ipset ,下一步是添加 iptables 自动规则

iptables -I INPUT -p tcp --dport 12345 -j SET --add-set honey-pot src

以上命令的意思是,如果有人访问 12345 端口,则将访问者的地址加到 honey-pot 组里去。

我们在另一台机器中通过 curl 试一下规则是否生效:

curl 192.168.10.200:12345

在防御端查看 ipset 组是否生效

ipset list honey-pot

此时创建的 honey-pot 对象组中已经自动添加了一个对象,说明诱捕功能生效。此时只是将诱捕到的IP自动添加到对象组,并没有对诱捕IP实行封堵,下一步,我们对 honey-pot 对象组实行自动封堵。

iptables -I INPUT -p tcp -m set --match-set honey-pot src -j DROP

以上命令是对 honey-pot 对象组实行 DROP 动作。当入侵者不小心扫描到了蜜罐端口,对方IP就会自动写入 honey-pot 对象组,然后就自动被封了。

带 ipset 的 iptables 规则和普通规则一样,都可以使用 Iptable -D 进行删除管理,如果发现误封了友军,可以在 iptables 中设置白名单放行。我们通过 iptables -nL --line-number 查看生效的规则。

前三条规则为:

执行 iptables-save 可以查看规则写法

iptables -A INPUT -p tcp -m set --match-set honey-pot src -j DROPiptables -A 

INPUT -p tcp -m tcp --dport 12345 -j SET --add-set honey-pot srciptables -A 

INPUT -p tcp -m tcp --dport 12345 -j ACCEPT

除了基于 iptables 自动添加 IP 对象组,ipset 自身也是可以单独进行维护的。

ipset 常用操作

ipset list [SETNAME] ,命令列出对象组的相关信息,包含组内成员。如果不加 SETNAME 则显示所有对象组。

ipset create [SETNAME] hash:ip ,用来创建对象组。

ipset destroy [SETNAME] , 用来销毁对象组。

ipset flush [SETNAME],用来清空一个已有的对象组。

最后给出单独维护对象组的例子,从对象组中删除或添加一个IP对象

ipset del honey-pot 192.168.10.23

ipset add honey-pot 192.168.10.23

当出现误操作时,可以对 ipset 中的对象组进行单独维护,从对象组中添加或删除 IP 对象。

原文连接:https://mp.weixin.qq.com/s?__biz=Mzk0MTI4NTIzNQ==&mid=2247486436&idx=1&sn=9411aa569cac795886e2b6c3e47a376f&chksm=c2d581f8f5a208ee9e669f29638e6fd2dc3892f55cdaae2e41b7176dfc7cff49fb7928a26f84&exptype=unsubscribed_card_recommend_article_u2i_mainprocess_coarse_sort&expsessionid=0&scene=169&subscene=10000&sessionid=1651547786&clicktime=1651547794&enterid=1651547794&ascene=56&devicetype=android-29&version=28000033&nettype=WIFI&abtest_cookie=AAACAA%3D%3D&lang=zh_CN&session_us=gh_9b5e6ec6437c&exportkey=AztW11tLhnR9JwwwHI%2Bg0Qs%3D&pass_ticket=%2FTCNY%2FewXsrEKTcBuPsD6EbfkTTlrdlXEXR9l%2BANA%2BIO%2FB%2Ba4wVrCJmAFp%2BOBQm2&wx_header=3

Python ipset iptables 实现蜜罐 自动封堵扫描者IP的更多相关文章

  1. ipset和iptables配合来自动封闭和解封有问题的IP

    iptables封掉少量ip处理是没什么问题的,但是当有大量ip攻击的时候性能就跟不上了,iptables是O(N)的性能.而ipset就像一个集合,把需要封闭的ip地址放入这个集合中,ipset 是 ...

  2. 在Python命令行和VIM中自动补全

    作者:gnuhpc 出处:http://www.cnblogs.com/gnuhpc/ 1. VIM下的配置: wget https://github.com/rkulla/pydiction/arc ...

  3. Spring学习笔记之 Spring IOC容器(二) 之注入参数值,自动组件扫描方式,控制Bean实例化方式,使用注解方式

     本节主要内容:    1. 给MessageBean注入参数值    2. 测试Spring自动组件扫描方式    3. 如何控制ExampleBean实例化方式    4. 使用注解方式重构Jdb ...

  4. python版恶俗古风自动生成器.py

    python版恶俗古风自动生成器.py """ python版恶俗古风自动生成器.py 模仿自: http://www.jianshu.com/p/f893291674c ...

  5. Iptables DDOS/CC 自动屏蔽脚本

    Iptables DDOS/CC 自动屏蔽脚本 May 20, 2013 最近不停地被 CC (DDOS的一种)频繁干扰,分享一个 iptables 屏蔽 DDOS 的脚本.让 crond 每分钟运行 ...

  6. python scapy的用法之ARP主机扫描和ARP欺骗

    python scapy的用法之ARP主机扫描和ARP欺骗 目录: 1.scapy介绍 2.安装scapy 3.scapy常用 4.ARP主机扫描 5.ARP欺骗 一.scapy介绍 scapy是一个 ...

  7. python多线程与多进程--存活主机ping扫描以及爬取股票价格

    python多线程与多进程 多线程: 案例:扫描给定网络中存活的主机(通过ping来测试,有响应则说明主机存活) 普通版本: #扫描给定网络中存活的主机(通过ping来测试,有响应则说明主机存活)im ...

  8. python恶俗古风诗自动生成器

    # -*- coding:utf-8 -*- #模仿自: http://www.jianshu.com/p/f893291674ca#python恶俗古风诗自动生成器from random impor ...

  9. 对于pycharm和vscode下,从外部复制文本内容为python字符串内容是会自动加\u202a解决办法

    先来看下这个python3源代码,表面上看没有语法毛病,如果源代码字符串内容是手动复制过来的文本内容,在pycharm和vscode下始终提示: pywintypes.error: (2, 'Shel ...

  10. python每个文件都需要顶部注释,那今天介绍一个方法,只需要设置一次,下次新建python文件后,注释自动出现在顶部的方法

    python每个文件都需要顶部注释,那今天介绍一个方法,只需要设置一次,下次新建python文件后,注释自动出现在顶部的方法 只需要在file -----settings------file and ...

随机推荐

  1. 发送邮件时,报错:AttributeError: 'list' object has no attribute 'encode'

    在使用腾讯企业邮箱发送邮件时出现报错:AttributeError: 'list' object has no attribute 'encode' 原因:收件人不能用列表存储数据,需要转为字符串,以 ...

  2. DevEco Device Tool 3.1 Release新版本发布,新增资源管理器、SFTP、HDC

     原文链接:https://mp.weixin.qq.com/s/UGBirjf8nBjnfKck9TlyWg,点击链接查看更多技术内容:   DevEco Device Tool是面向智能设备开发者 ...

  3. 超强阵容!HarmonyOS极客马拉松2023专家评审团来袭!

     数十位重量级专家现身决赛现场,为参赛者提供多角度专业点评.12支队伍,46位选手,齐聚东莞·松山湖,围绕HarmonyOS技术特性,共同挑战36小时极限编程,谁将问鼎决赛之巅,8.3日-5日,我们拭 ...

  4. 重新整理 mysql 基础篇—————表锁和全局锁[六]

    前言 锁从大的方面可以分为: 1.全局锁 2.表锁 3.行锁 正文 全局锁 全局锁就是对整个数据加上读锁. 在mysql 中,加入全局锁的命令就是: Flush tables with read lo ...

  5. Javascript中的继承?如何实现继承?

    一.是什么 继承(inheritance)是面向对象软件技术当中的一个概念 如果一个类别B"继承自"另一个类别A,就把这个B称为"A的子类",而把A称为&quo ...

  6. 万节点规模云服务的 SRE 能力建设

    简介: 随着越来越多企业以容器作为系统底座,那么阿里云的云服务又是如何进行SRE规划呢?下文将由资深SRE工程师拆解2 万节点规模云服务背后的 SRE 能力建设,立即点击观看! 作者:宋傲(凡星)   ...

  7. 为 Serverless Devs 插上 Terraform 的翅膀,解耦代码和基础设施,实现企业级多环境部署(下)

    简介: 在上篇<为 Serverless Devs 插上 Terraform 的翅膀,实现企业级多环境部署(上)>中,主要介绍了 Serverless Devs 多环境功能的使用,用户读完 ...

  8. 阿里云峰会 | 阿里云CDN六大边缘安全能力,全力助推政企数字化转型

    6月9日,2020年阿里云线上峰会召开.阿里云智能总裁张建锋认为,数字化已经成为中国经济的主要驱动力,疫情让政府.企业都认识到数字化的迫切性.在峰会上,阿里云CDN正式对外发布基于CDN构建的六大边缘 ...

  9. 阿里云张献涛:自主最强DPU神龙的秘诀

    ​简介:读懂云计算,才能看清DPU热潮. 微信公众号搜索"弹性计算百晓生",获取更多云计算知识. 如果细数最近火爆的科技概念,DPU必然位列其中. 这是英伟达一手捧红的新造富故事, ...

  10. 开源微服务编排框架:Netflix Conductor

    简介:本文主要介绍netflix conductor的基本概念和主要运行机制. ​ 作者 | 夜阳 来源 | 阿里技术公众号 本文主要介绍netflix conductor的基本概念和主要运行机制. ...