搜索列表 路由IP黑名单 文本格式 已失效IP 端口统计 DNS客户黑名单 mail客户黑名单 SSHD日志 列表介绍 以下IP被加入本黑名单,如需解封请发信:james@ustc.edu.cn 您的IP地址:18.189.143.1

致谢:

清华大学网络与信息安全实验室

相关技术资料:

JSERNET 2008年会 基于BGP协议的IP黑名单分发系统.ppt
CERNET 2008年会 基于BGP协议的IP黑名单分发系统.pdf

使用状态:

IP地址黑名单是有危害的IP地址,可以在路由上封锁,如果配置好BGP,可以自动更新。

DNS客户黑名单是对域名服务器有异常请求的黑名单,可以在域名服务器上封锁。

Mail客户黑名单是对邮件服务器进行IMAP/POP3/SMTP密码尝试的IP,可以在邮件服务器上封锁。

目前有10所高校在使用这个黑名单。

2018.07.11 集成 https://www.spamhaus.org/drop/drop.txt https://www.spamhaus.org/drop/edrop.txt
2018.11.18 集成 https://iplists.firehol.org/files/firehol_level1.netset
2019.02.06 集成 https://talosintelligence.com/documents/ip-blacklist
2023.04.13 集成 https://feodotracker.abuse.ch/downloads/ipblocklist.txt
2023.04.13 集成 https://feodotracker.abuse.ch/downloads/ipblocklist_recommended.txt
2023.10.20 集成 https://www.binarydefense.com/banlist.txt

Internet上有很多恶意IP,这些IP发起了了大量扫描和密码尝试活动。在网络设备上封锁客户机对这些IP的通信后,能有效减少被入侵的可能。

这里的IP blacklist是我们收集的一些恶意IP,即IP黑名单。为了简化IP黑名单的更新操作,我们提供利用BGP协议来进行IP黑名单的自动分发。

如果您也希望在网络设备上封锁这些IP,最简单的就是配置BGP协议,利用BGP协议自动封锁这些IP。

Cisco设备的配置步骤

1. 在交换机或路由器上增加如下配置
router bgp 65500
no synchronization
bgp log-neighbor-changes
neighbor 202.38.64.17 remote-as 24362
neighbor 202.38.64.17 ebgp-multihop 255
neighbor 202.38.95.241 remote-as 24362
neighbor 202.38.95.241 ebgp-multihop 255
no auto-summary

ip route 202.38.64.17 255.255.255.255 x.x.x.x
ip route 202.38.95.241 255.255.255.255 x.x.x.x
ip route 192.0.2.1 255.255.255.255 Null0

上面的202.38.64.17和202.38.95.241是2个中科大的BGP设备,设置2个是为了冗余。

其中x.x.x.x是到教育网的网关IP,一般应该是默认路由,不确定的话,可以在交换机或路由器上执行show ip route 202.38.64.17来查看显示的next-hop地址。


2. 确保交换机或路由器能连接202.38.64.17 与 202.38.95.241 的179端口,这是BGP协议使用的端口。
可以在交换机或路由器上执行 
telnet 202.38.64.17 179
telnet 202.38.95.241 179
来测试。

3. 把交换机或路由器的IP告诉我 james@ustc.edu.cn,我来配置科大的设备。
如果不清楚IP,可以在交换机/路由器上执行telnet 202.38.64.17 180,会显示
Your IP is ...,这里的IP就是设备的IP,请把这个IP告诉我。

4. 配置正确后,在交换机或路由器上执行
#show ip bgp neighbors 202.38.64.17,应该能看到这样
BGP neighbor is 202.38.64.17, remote AS 24362, external link
BGP version 4, remote router ID 202.38.64.17
BGP state = Established, up for 05:52:00

执行show ip bgp 能看到学到的路由表,里面全部是黑名单IP。

华为设备(VRP)的配置

VRP系统的关键配置如下:
bgp 65500
 log-peer-change
 undo synchronization
 peer 202.38.64.17 as-number 24362
 peer 202.38.64.17 ebgp-max-hop 255
 peer 202.38.95.241 as-number 24362
 peer 202.38.95.241 ebgp-max-hop 255
 ipv4-family unicast
 peer 202.38.64.17 enable
 peer 202.38.95.241 enable

ip route-static 192.0.2.1 255.255.255.255 NULL 0

DNS客户黑名单封锁步骤

1. 在DNS服务器上增加如下iptables 规则
iptables -N dns 
iptables -I INPUT -j dns -p udp --dport 53


2. 执行如下命令更新黑名单
#!/bin/bash

iptables -F dns

curl http://blackip.ustc.edu.cn/dnsblackip.php?txt > dnsblackip.txt

for ip in `cat dnsblackip.txt`; 
do echo iptables -A dns -j DROP -s $ip; 
iptables -A dns -j DROP -s $ip;
done

mail客户黑名单封锁步骤

1. 在mail服务器上增加如下iptables 规则
iptables -N BANIP

#smtp/imap/pop auto block
iptables -A INPUT -j BANIP -p tcp --dport 25 
iptables -A INPUT -j BANIP -p tcp --dport 110
iptables -A INPUT -j BANIP -p tcp --dport 143
iptables -A INPUT -j BANIP -p tcp --dport 465
iptables -A INPUT -j BANIP -p tcp --dport 993
iptables -A INPUT -j BANIP -p tcp --dport 995

2. 执行如下命令更新黑名单

iptables -F BANIP

wget http://blackip.ustc.edu.cn/mailblackip.php?txt -O old.blackip.txt 2>/dev/null

for i in `cat old.blackip.txt`; do
iptables -A BANIP -j DROP -s $i;
done

while true; do
 date
 wget http://blackip.ustc.edu.cn/mailblackip.php?txt -O new.blackip.txt 2>/dev/null
 diff -u old.blackip.txt new.blackip.txt |grep "^-[0-9]"|cut -c2-| while read ip; do
  echo del $ip
  iptables -D BANIP -j DROP -s $ip;
 done
 diff -u old.blackip.txt new.blackip.txt |grep "^+[0-9]"|cut -c2-| while read ip; do
  echo add $ip
  iptables -A BANIP -j DROP -s $ip;
 done
 mv -f new.blackip.txt old.blackip.txt
 sleep 5
done