屏蔽阿里云盾的扫描检测

2018-03-1609:17:37 13 603
摘要

虽然阿里云盾扫买检测对服务器形成的压力非常的小,小到几乎可以不计了,但是对于这类扫描,我们一定要做到“洁癖”的标准来对待,能阻止拦截就一定要阻止拦截!安全第一!安全第一!安全第一!

自从根据【阿里云 ECS 关闭删除阿里云盾(安骑士)方法收集汇总】一文的办法彻底关闭了阿里云 ECS 上的云盾后,感觉服务器清爽了很多,但是今天发现 360 网站卫士里还是有“Web 攻击”的截获记录,看了一下 IP 地址段发现是个叫“Alibaba.Security.Heimdall”的 UA 来访的,度娘、谷姐一番后才知道这就是阿里云云盾的扫描检测 IP 地址。

屏蔽阿里云盾的扫描检测

很明显,这样是不科学的,自己的服务器总是被人扫描检测总是感觉怪怪的,并且服务器真正被攻击的时候,阿里云盾能起到的作用几乎为零,至少明月发现这货唯一的用处就是在 WEB 后台不断的提醒我购买(安骑士)服务。

目前,云盾提供态势感知、网络安全、服务器安全(安骑士)、数据安全、业务安全、内容安全等服务。云盾会通过最新的大数据分析,对 ECS 云服务器进行服务器漏洞、弱点分析、数据安全等扫描检测。所以您的服务器会经常接收到云盾 IP 扫描。

云盾扫描只会消耗很少的服务器资源,不会影响您服务器运行。

云盾漏洞扫描系统在机房入口处进行流量分析,程序会自动对流量进行漏洞分析与测试。这些信息仅会用来测试您的 ECS 服务器,绝对不会泄露给第三方。

盾通过公网模拟黑客入侵攻击,进行安全扫描。如果您服务器有安全防护部署,建议您对云盾扫描服务 IP 段开启扫描访问权限,保证云盾扫描服务正常运行。

上述为阿里云官方对阿里云盾扫描检测的解释,按照阿里玩“套路”世界第一的尿性,这些解释感觉都是浮云!好在阿里云公布了云盾检测的 IP 地址段。

云盾扫描云服务器的 IP 段固定为:

  • 140.205.201.0/28
  • 140.205.201.16/29
  • 140.205.201.32/28
  • 140.205.225.192/29
  • 140.205.225.200/30
  • 140.205.225.184/29
  • 140.205.225.183/32
  • 140.205.225.206/32
  • 140.205.225.205/32
  • 140.205.225.195/32
  • 140.205.225.204/32
  • 106.11.224.0/26
  • 106.11.224.64/26
  • 106.11.224.128/26
  • 106.11.224.192/26
  • 106.11.222.64/26
  • 106.11.222.128/26
  • 106.11.222.192/26
  • 106.11.223.0/26

既然官方公开了 IP 地址段那就也说明,屏蔽拦截这些 IP 的扫描检测官方并不反对的,嗯,我就是这么理解的。还发现好像跟【阿里云 ECS 关闭删除阿里云盾(安骑士)方法收集汇总】一文里的 IP 段对比又增加了,果断调整服务器 iptables 防火墙屏蔽策略,重新加入上述最新的 IP 地址段进行扫描。为了方便明月喜欢将 IP 地址段直接做成可以自动导入的脚本执行。具体代码如下:

  1. #!/bin/bash
  2. echo "屏蔽阿里云盾 IP......."
  3. iptables -I INPUT -s 140.205.201.0/28 -j DROP
  4. iptables -I INPUT -s 140.205.201.16/29 -j DROP
  5. iptables -I INPUT -s 140.205.201.32/28 -j DROP
  6. iptables -I INPUT -s 140.205.225.192/29 -j DROP
  7. iptables -I INPUT -s 140.205.225.200/30 -j DROP
  8. iptables -I INPUT -s 140.205.225.184/29 -j DROP
  9. iptables -I INPUT -s 140.205.225.183/32 -j DROP
  10. iptables -I INPUT -s 140.205.225.206/32 -j DROP
  11. iptables -I INPUT -s 140.205.225.205/32 -j DROP
  12. iptables -I INPUT -s 140.205.225.195/32 -j DROP
  13. iptables -I INPUT -s 140.205.225.204/32 -j DROP
  14. iptables -I INPUT -s 106.11.224.0/26 -j DROP
  15. iptables -I INPUT -s 106.11.224.64/26 -j DROP
  16. iptables -I INPUT -s 106.11.224.128/26 -j DROP
  17. iptables -I INPUT -s 106.11.224.192/26 -j DROP
  18. iptables -I INPUT -s 106.11.222.64/26 -j DROP
  19. iptables -I INPUT -s 106.11.222.128/26 -j DROP
  20. iptables -I INPUT -s 106.11.222.192/26 -j DROP
  21. iptables -I INPUT -s 106.11.223.0/26 -j DROP
  22. echo "已经屏蔽了阿里云盾 IP"

保存上述代码为 XXX.sh,然后在终端输入 sh XXX.sh 运行脚本即可将里面的屏蔽加入当前使用的 iptables 防火墙规则里了,当然,最后记得运行一下 service iptables save 保存一下规则哦!

虽然阿里云盾扫买检测对服务器形成的压力非常的小,小到几乎可以不计了,但是对于这类扫描,我们一定要做到“洁癖”的标准来对待,能阻止拦截就一定要阻止拦截!安全第一!安全第一!安全第一!

历史文章推荐:

  • 我的微信
  • 扫一扫加好友
  • weinxin
  • 站长QQ群
  • 群号:284775512
  • weinxin
明月登楼

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

目前评论:13   其中:访客  9   博主  4

    • 米扑博客 4

      哈哈 一样的感受 :mrgreen:

      • 夏日博客 1

        使用阿里扫描,每天都有一大波的攻击。

        • 西枫里博客 5

          留了云盾。起码在阿里控制台里能看到绕过waf的少量攻击

          • 缙哥哥 4

            如果你有一些带颜色的文章,或者学科上网的文章,他还会屏蔽掉你的,我就遇到过了!

            • 大事记 3

              直接弄个安全狗,最起码我感觉一般的攻击还是能拦截下来的。阿里弹性的好像打不死,顶多停一会,然后恢复正常。

                • 明月登楼 明月登楼 博主

                  @大事记 呵呵,安全狗不适合我这最低配置的服务器!感觉没有2G以上内存用安全狗亚历山大呀!

                • 懿古今 7

                  昨晚我重新定义了我的nginx日志格式,终于可以在日志看到真实IP地址。有些IP百度了半天都不知道是谁的,天天疯狂来访,所以最好也屏蔽了一些IP。下一步看来也要屏蔽这个云盾才行。

                    • 明月登楼 明月登楼 博主

                      @懿古今 屏蔽IP是治标不治本的,建议收集一些相关的UA来屏蔽!要是IP的话,建议用IP地址段!

                    • 烤德香 6

                      :idea: 昨天分析日志的时候,确实发现有一堆404! :shock: 大概就是阿里云提示的入侵攻击的吧