为WAF黑名单中的IP设置过期时间
2023-3-13 22:50:16 Author: 楼兰学习网络安全(查看原文) 阅读量:3 收藏

IP地址总是具有时效性,彼时的恶意IP过一段时间后,或许便会变成正常的IP;及时删除黑名单中的IP可以减少误拦截、释放资源、降低维护成本。

谢谢小石、LzSkyline、柚子的见解,收获很多。

什么时候删除黑名单中的IP

或许可以使用下面这些逻辑:
1)IP地址已被加到白名单中时,清除黑名单中的IP地址;
2)当IP地址的行为恢复正常时清除IP;
3)设置过期时间,当阻断时间到期时清除IP地址(本文讨论这种方式);
4)IP地址长时间未访问组织时清除IP。

为黑名单中的IP设置多少过期时间

参考IP地址的应用场景、地理位置、IoC情报、访问记录等来为黑名单中的IP设置标签,根据目标IP携带的标签和计算公式来生成过期时间。

新IP:首次攻击/首次加入黑名单。

然后我们可以对这些标签赋予对应的公式:

应用场景也是如此:

至此,我们便可以通过公式来计算拦截时间,示例:

目标IP携带的标签:旧IP、非业务区域、黑IP、云服务器。
24H * 4 * 4 * 2 = 768小时,合计32天
目标IP携带的标签:新IP、业务区域、非黑IP、移动网络。
1H * 1.1 * 1.1 * 1.1 = 1.331小时

再看一下网上的分析,在威胁IP TOP 1K中存活时间低于7天的占比73%

在威胁IP TOP 1K中存活时间低于30天的占比75%

所以说7天、30天是两个很有价值的阈值,跟公式的计算结果还是蛮温和的。

那么,我们可以考虑在使用API增加黑名单融入计算公式,在管理页面手动增加黑名单配置快捷选项:

默认设置封禁时长为1小时,通过勾选1天,将封禁时长快速设置为24小时:

也可以通过自定义来设置过期时间:

参考资料

1、https://www.ipip.net/product/usage.html
2、https://www.threatstop.com/blog/how-long-does-an-ip-address-stay-infected

文章来源: http://mp.weixin.qq.com/s?__biz=Mzg4ODU4ODYzOQ==&mid=2247485095&idx=1&sn=87810676085a899d59777daada7b1b42&chksm=cff99697f88e1f819a54264b7ed4a4df6030b28b536e6806f6c33d98d18b6a1bc0d609eb120d#rd
如有侵权请联系:admin#unsafe.sh