为WAF黑名单中的IP设置过期时间

admin 2023年3月14日11:56:28评论50 views字数 825阅读2分45秒阅读模式
IP地址总是具有时效性,彼时的恶意IP过一段时间后,或许便会变成正常的IP;及时删除黑名单中的IP可以减少误拦截、释放资源、降低维护成本。


谢谢小石、LzSkyline、柚子的见解,收获很多。

什么时候删除黑名单中的IP

或许可以使用下面这些逻辑:
1)IP地址已被加到白名单中时,清除黑名单中的IP地址;
2)当IP地址的行为恢复正常时清除IP;
3)设置过期时间,当阻断时间到期时清除IP地址(本文讨论这种方式);
4)IP地址长时间未访问组织时清除IP。

为黑名单中的IP设置多少过期时间

参考IP地址的应用场景、地理位置、IoC情报、访问记录等来为黑名单中的IP设置标签,根据目标IP携带的标签和计算公式来生成过期时间。


为WAF黑名单中的IP设置过期时间新IP:首次攻击/首次加入黑名单。

然后我们可以对这些标签赋予对应的公式:

为WAF黑名单中的IP设置过期时间

应用场景也是如此:

为WAF黑名单中的IP设置过期时间

至此,我们便可以通过公式来计算拦截时间,示例:


目标IP携带的标签:旧IP、非业务区域、黑IP、云服务器。
24H * 4 * 4 * 2 = 768小时,合计32天


目标IP携带的标签:新IP、业务区域、非黑IP、移动网络。
1H * 1.1 * 1.1 * 1.1 = 1.331小时


再看一下网上的分析,在威胁IP TOP 1K中存活时间低于7天的占比73%

为WAF黑名单中的IP设置过期时间


在威胁IP TOP 1K中存活时间低于30天的占比75%

为WAF黑名单中的IP设置过期时间

所以说7天、30天是两个很有价值的阈值,跟公式的计算结果还是蛮温和的。


那么,我们可以考虑在使用API增加黑名单融入计算公式,在管理页面手动增加黑名单配置快捷选项:


默认设置封禁时长为1小时,通过勾选1天,将封禁时长快速设置为24小时:

为WAF黑名单中的IP设置过期时间


也可以通过自定义来设置过期时间:

为WAF黑名单中的IP设置过期时间

参考资料

1、https://www.ipip.net/product/usage.html
2、https://www.threatstop.com/blog/how-long-does-an-ip-address-stay-infected

原文始发于微信公众号(楼兰学习网络安全):为WAF黑名单中的IP设置过期时间

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月14日11:56:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   为WAF黑名单中的IP设置过期时间https://cn-sec.com/archives/1603232.html

发表评论

匿名网友 填写信息