با توجه به اینکه اخیرا هکرهای عرب خیلی فعال شدن و به شخصه حملات متعددی رو از طرف آی پی های عربستان داشته ایم، تصمیم گرفتم دنبال راهی برای بلاک کردن تمامی آی پی های یک کشور پیدا کنم که راه حل رو پیدا کردم.

سایت Country IP Block (http://www.countryipblocks.net/country-blocks/select-formats/) با انتخاب نوع خروجی و کشور مورد نظر، یک لیست در اختیار شما قرار میده که خیلی راحت به وسیله بلاک کردن اون لیست، میتونید کشور مورد نظر رو کاملا بلاک کنید و از شر این هکرهای مزاحم خلاص بشید.

برای مثال لیست زیر شامل 5.5 میلیون آی پی کشور عربستان هست (بصورت CDR) که میشه روی فایروال CSF بلاک کرد:


# Country: SAUDI ARABIA
# ISO Code: SA
# Total Networks: 271
# Total Subnets: 5,504,256
2.88.0.0/14
31.24.224.0/21
31.166.0.0/16
31.167.0.0/16
37.16.32.0/19
37.16.128.0/17
37.76.224.0/19
37.99.128.0/18
37.104.0.0/14
37.121.0.0/16
37.124.0.0/14
37.141.0.0/16
46.18.160.0/21
46.29.80.0/21
46.38.64.0/19
46.44.64.0/18
46.52.0.0/17
46.151.208.0/21
46.152.0.0/16
46.153.0.0/16
46.184.0.0/17
46.230.0.0/17
46.235.88.0/21
46.240.0.0/17
46.251.128.0/19
62.3.0.0/19
62.3.32.0/19
62.120.0.0/16
62.149.64.0/18
77.30.0.0/16
77.31.0.0/16
77.64.0.0/17
77.73.192.0/21
77.87.16.0/21
77.95.216.0/21
77.221.96.0/19
77.232.96.0/19
77.240.80.0/20
77.240.128.0/20
78.93.0.0/16
78.110.0.0/20
78.138.192.0/18
79.98.184.0/21
79.170.0.0/21
79.170.48.0/21
79.172.128.0/18
80.74.80.0/20
80.240.64.0/20
81.16.208.0/20
81.21.48.0/20
82.118.160.0/19
82.147.192.0/19
82.167.0.0/16
82.205.128.0/17
83.101.128.0/17
84.22.224.0/19
84.23.96.0/19
84.235.0.0/17
85.129.128.0/17
85.194.64.0/18
85.208.0.0/16
85.209.0.0/16
85.237.128.0/19
86.51.0.0/16
86.60.0.0/17
86.111.192.0/21
87.101.128.0/17
87.109.0.0/16
87.230.128.0/17
88.81.0.0/19
88.84.96.0/19
88.85.224.0/19
88.213.0.0/18
88.213.64.0/18
89.4.0.0/16
89.5.0.0/16
89.108.0.0/18
89.144.64.0/18
89.147.0.0/18
89.188.64.0/19
89.189.224.0/19
89.237.128.0/18
90.148.0.0/16
91.102.16.0/21
91.147.128.0/18
91.151.160.0/20
91.195.88.0/23
91.197.200.0/22
91.198.62.0/24
91.198.102.0/24
91.198.251.0/24
91.199.107.0/24
91.199.187.0/24
91.206.134.0/23
91.207.12.0/23
91.208.4.0/24
91.208.128.0/24
91.208.156.0/24
91.209.215.0/24
91.209.253.0/24
91.212.67.0/24
91.213.18.0/24
91.213.205.0/24
91.213.213.0/24
91.221.22.0/23
91.221.184.0/23
91.221.202.0/23
91.222.200.0/22
91.223.210.0/24
91.227.22.0/24
91.227.24.0/23
91.229.32.0/23
91.229.220.0/24
91.230.124.0/23
91.233.141.0/24
91.233.174.0/24
91.237.21.0/24
91.237.22.0/23
91.237.28.0/22
92.43.168.0/21
92.48.0.0/18
93.98.0.0/16
93.178.0.0/18
93.189.96.0/21
93.189.192.0/21
94.77.192.0/18
94.96.0.0/14
94.143.224.0/21
95.129.8.0/21
109.82.0.0/16
109.83.0.0/16
109.171.128.0/17
128.204.240.0/20
130.255.176.0/21
146.251.0.0/16
149.3.160.0/20
149.255.16.0/21
159.0.0.0/16
166.87.0.0/16
167.111.0.0/16
176.16.0.0/14
176.44.0.0/16
176.45.0.0/16
176.224.0.0/16
176.225.0.0/16
176.241.184.0/21
178.20.144.0/21
178.73.64.0/18
178.80.0.0/16
178.81.0.0/16
178.248.112.0/21
188.48.0.0/13
188.95.160.0/21
188.117.64.0/18
188.119.64.0/18
188.132.0.0/17
188.139.0.0/17
188.248.0.0/16
188.249.0.0/16
192.162.72.0/22
192.203.227.0/24
192.251.61.0/24
192.251.62.0/24
192.251.63.0/24
192.251.64.0/24
192.251.65.0/24
193.8.250.0/24
193.19.90.0/23
193.22.249.0/24
193.23.180.0/24
193.27.7.0/24
193.28.9.0/24
193.28.10.0/24
193.28.94.0/24
193.29.50.0/24
193.37.143.0/24
193.42.220.0/24
193.47.102.0/24
193.104.204.0/24
193.105.89.0/24
193.105.119.0/24
193.109.218.0/24
193.142.222.0/24
193.169.190.0/23
193.188.1.0/24
193.188.2.0/24
193.188.3.0/24
193.188.14.0/24
193.188.15.0/24
193.188.16.0/20
193.188.200.0/24
193.194.122.0/24
193.200.247.0/24
193.227.127.0/24
194.0.15.0/24
194.36.164.0/24
194.50.35.0/24
194.110.72.0/24
194.126.231.0/24
195.10.197.0/24
195.14.19.0/24
195.34.68.0/23
195.43.137.0/24
195.47.234.0/24
195.66.100.0/24
195.66.128.0/23
195.85.224.0/24
195.88.244.0/23
195.114.106.0/23
195.128.131.0/24
195.130.206.0/24
195.134.184.0/21
195.149.65.0/24
195.149.91.0/24
195.170.180.0/24
195.177.194.0/23
195.182.31.0/24
195.189.212.0/23
195.191.6.0/23
195.242.177.0/24
195.242.188.0/24
195.242.196.0/22
195.246.104.0/23
196.1.3.0/24
196.1.6.0/24
196.1.64.0/22
196.3.66.0/24
196.15.32.0/19
198.11.0.0/22
198.36.32.0/21
198.36.40.0/22
198.36.44.0/23
198.36.46.0/24
198.51.12.0/24
212.11.160.0/19
212.12.160.0/19
212.24.224.0/19
212.26.0.0/19
212.26.32.0/19
212.26.64.0/18
212.33.160.0/19
212.46.32.0/19
212.57.192.0/19
212.62.96.0/19
212.70.32.0/19
212.71.32.0/19
212.76.64.0/19
212.93.160.0/19
212.93.192.0/19
212.100.192.0/19
212.102.0.0/19
212.107.96.0/19
212.116.192.0/19
212.118.96.0/19
212.118.128.0/19
212.119.64.0/19
212.138.0.0/16
212.162.128.0/19
212.215.128.0/17
213.5.168.0/21
213.136.192.0/19
213.166.128.0/19
213.181.160.0/19
213.184.160.0/19
213.210.192.0/18
213.230.0.0/19
213.236.32.0/19
217.8.64.0/20
217.12.224.0/20
217.145.240.0/20
217.173.80.0/20


در کل بنظرم بیشتر حملات از طرف عربستان و چین صورت میگیره که این راه به عنوان پیشگیری خوب هست و جلوی خیلی از حملات رو خواهد گرفت.

با تشکر از مطلب مفیدتون
ولی CSF یه ویژگی داره برای مسدود و یا قبول کردن آی پی کشورها.
کافیه توی قسمت firewall configuration دو مورد

CC_DENY =
CC_ALLOW =

رو پیدا کنید و کد دو حرفی کشوری رو که می خواین مسدود کنید داخل CC_DENY بنویسید. برای مسدود کردن چند کشور کافیه کد هر کشور رو با کاما از هم جدا کنید.
در استفاده از این روش روی سرورهای مجازی دقت بشه که استفاده از کد چند کشور می تونه لود سرور رو خیلی بالا ببره

ولی جالبه چرا میان سایت های شخصی رو میزنند نه دولتی اگه هدفشون واقعا سیسی هستش

ولی جالبه چرا میان سایت های شخصی رو میزنند نه دولتی اگه هدفشون واقعا سیسی هستش

جواب خیلی ساده هست : زورشون نمیرسه :d

---------- Post added at 06:52 PM ---------- Previous post was at 06:49 PM ----------


با تشکر از مطلب مفیدتون
ولی CSF یه ویژگی داره برای مسدود و یا قبول کردن آی پی کشورها.
کافیه توی قسمت firewall configuration دو مورد

CC_DENY =
CC_ALLOW =

رو پیدا کنید و کد دو حرفی کشوری رو که می خواین مسدود کنید داخل CC_DENY بنویسید. برای مسدود کردن چند کشور کافیه کد هر کشور رو با کاما از هم جدا کنید.
در استفاده از این روش روی سرورهای مجازی دقت بشه که استفاده از کد چند کشور می تونه لود سرور رو خیلی بالا ببره


ممنون، من از این مورد اطلاع نداشتم!
البته تحقیقم بیشتر برای بلاک کردن آی پی ها روی سویچ Cisco بود که گفتم اینجا هم اشاره کنم شاید به درد کسی خورد

با تشکر از مطلب مفیدتون
ولی CSF یه ویژگی داره برای مسدود و یا قبول کردن آی پی کشورها.
کافیه توی قسمت firewall configuration دو مورد

CC_DENY =
CC_ALLOW =

رو پیدا کنید و کد دو حرفی کشوری رو که می خواین مسدود کنید داخل CC_DENY بنویسید. برای مسدود کردن چند کشور کافیه کد هر کشور رو با کاما از هم جدا کنید.
در استفاده از این روش روی سرورهای مجازی دقت بشه که استفاده از کد چند کشور می تونه لود سرور رو خیلی بالا ببره

سلام
فکر نمی کنید این کار سرعت لود سایت ها را پایین میاره؟ چون از آی پی whois می گیره و بعد تصمیم می گیره که اجازه ی دسترسی بده یا خیر؟

سلام
فکر نمی کنید این کار سرعت لود سایت ها را پایین میاره؟ چون از آی پی whois می گیره و بعد تصمیم می گیره که اجازه ی دسترسی بده یا خیر؟

پروسس خیلی سنگینی نیست. در ضمن Whois گرفته نمیشه. دیتابیس IP Location از Whois یا RDNS یا RWhois جدا هست. معمولا این نرم افزارها یک دیتابیس داخل خودشون دارند. در مورد CSF نمی دونم ولی فایروالی که ما استفاده میکنیم یک دیتابیس 157 کیلو بایتی داره که کوئری میگیره.

اگر شما نگران میلی ثانیه هستید فایروال سخت افزاری بگذارید و یا اینکه توپولوژی سرورهاتون رو تغییر بدید.

csf از دیتابیس سایت maxmind استفاده می کنه و هیچ سایتی بدون مشکل نمی مونه. اگر سرور شلوغ باشه و بازدیدکننده زیاد باشه، همین چند میلی ثانیه ممکن است به یک یا دو ثانیه یا بیشتر افزایش داده بشه اون هم در صورتی است که سایت maxmind مشکلی نداشته باشه و بدون وقفه (کمتر از 1 ثانیه) به درخواست پاسخ بده.

پ.ن. : به تازگی افغانستان هم DOS می کنه!

csf از دیتابیس سایت maxmind استفاده می کنه و هیچ سایتی بدون مشکل نمی مونه. اگر سرور شلوغ باشه و بازدیدکننده زیاد باشه، همین چند میلی ثانیه ممکن است به یک یا دو ثانیه یا بیشتر افزایش داده بشه اون هم در صورتی است که سایت maxmind مشکلی نداشته باشه و بدون وقفه (کمتر از 1 ثانیه) به درخواست پاسخ بده.

پ.ن. : به تازگی افغانستان هم DOS می کنه!

من شک دارم اینطوری باشه. ولی حتما تحقیق میکنم بهتون اطلاع میدم. maxmind برای رضای خدا ماهی نمیگیره و سرویس های بسیار گرونی دارند و وب سرویس همینطوری برای هیچ شرکتی باز نمیکنن. Mod_geoIP رو میدونم که از Maxmind استفاده میکنه ولی CSF رو بعید میدونم. ممنون میشم اگر اطلاعات بیشتری در این مورد دارید به اشتراک بگذارید.

من شک دارم اینطوری باشه. ولی حتما تحقیق میکنم بهتون اطلاع میدم. maxmind برای رضای خدا ماهی نمیگیره و سرویس های بسیار گرونی دارند و وب سرویس همینطوری برای هیچ شرکتی باز نمیکنن. Mod_geoIP رو میدونم که از Maxmind استفاده میکنه ولی CSF رو بعید میدونم. ممنون میشم اگر اطلاعات بیشتری در این مورد دارید به اشتراک بگذارید.

################################################## #############################
# Country Code to CIDR allow/deny. In the following two options you can allow
# or deny whole country CIDR ranges. The CIDR blocks are generated from the
# Maxmind GeoLite Country database MaxMind - GeoLite Country | Open Source IP Address to Country Database (http://www.maxmind.com/app/geolitecountry)
# and entirely relies on that service being available

################################################## #############################
# Country Code to CIDR allow/deny. In the following two options you can allow
# or deny whole country CIDR ranges. The CIDR blocks are generated from the
# Maxmind GeoLite Country database MaxMind - GeoLite Country | Open Source IP Address to Country Database (http://www.maxmind.com/app/geolitecountry)
# and entirely relies on that service being available



درسته، پس این دیتابیس بصورت لوکال هست.

ولی جالبه چرا میان سایت های شخصی رو میزنند نه دولتی اگه هدفشون واقعا سیسی هستش

اونائی که واقعا حرفه این کارشون فقط هک سرورهای ضعیفه مثله تازه بدوران رسیده ها هم هیچیو تغییر نمیدن سرورای معمولی رو هک می کنند وقتی که تعداد سرورا زیاد شد رو همه همزمان حمله ddos می کنن رو یه سرور مهم و قوی و سرور داون میشه