IP地址总是具有时效性,彼时的恶意IP过一段时间后,或许便会变成正常的IP;及时删除黑名单中的IP可以减少误拦截、释放资源、降低维护成本。谢谢小石、LzSkyline、柚子的见解,收获很多。
什么时候删除黑名单中的IP
或许可以使用下面这些逻辑:
1)IP地址已被加到白名单中时,清除黑名单中的IP地址;3)设置过期时间,当阻断时间到期时清除IP地址(本文讨论这种方式);为黑名单中的IP设置多少过期时间
参考IP地址的应用场景、地理位置、IoC情报、访问记录等来为黑名单中的IP设置标签,根据目标IP携带的标签和计算公式来生成过期时间。
新IP:首次攻击/首次加入黑名单。
然后我们可以对这些标签赋予对应的公式:
应用场景也是如此:
至此,我们便可以通过公式来计算拦截时间,示例:
目标IP携带的标签:旧IP、非业务区域、黑IP、云服务器。24H * 4 * 4 * 2 = 768小时,合计32天目标IP携带的标签:新IP、业务区域、非黑IP、移动网络。1H * 1.1 * 1.1 * 1.1 = 1.331小时再看一下网上的分析,在威胁IP TOP 1K中存活时间低于7天的占比73%
在威胁IP TOP 1K中存活时间低于30天的占比75%
所以说7天、30天是两个很有价值的阈值,跟公式的计算结果还是蛮温和的。
那么,我们可以考虑在使用API增加黑名单融入计算公式,在管理页面手动增加黑名单配置快捷选项:默认设置封禁时长为1小时,通过勾选1天,将封禁时长快速设置为24小时:
也可以通过自定义来设置过期时间:
参考资料
1、https://www.ipip.net/product/usage.html2、https://www.threatstop.com/blog/how-long-does-an-ip-address-stay-infected
文章来源: http://mp.weixin.qq.com/s?__biz=Mzg4ODU4ODYzOQ==&mid=2247485095&idx=1&sn=87810676085a899d59777daada7b1b42&chksm=cff99697f88e1f819a54264b7ed4a4df6030b28b536e6806f6c33d98d18b6a1bc0d609eb120d#rd
如有侵权请联系:admin#unsafe.sh