地址IP(规则地址日志防火墙服务器)「ip地址规则」

昨天一台在公网的测试Web服务器的CPU突然彪到95%，查了一下发现是有人在做CC攻击，短期内大量的访问我们的正常的URL，然后导致这台测试服务器的资源被占用，CPU达到95%
我们需要找出攻击的IP地址，然后开启防火墙阻止这个黑客的攻击
1、查找Web日志，发现攻击的IP使用nginx作为Web服务器的日志一般都放在/var/log/nginx目录下面
找到这些日志，其中的有很多条相似的日志，短时间内访问量很大，IP是相同的，就可以怀疑不是正实用户的访问，让我们拿其中的一条日志来举例说明：104.243.40.15 - - [07/May/2024:19:22:11 +0000] "GET /catalogsearch/result/ HTTP/1.1" 302 5 "https://www.google.com/search?hl=en&q=testing" "User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; 360SE)"日志字段解释104.243.40.15:访问者的 IP 地址
-:通常用于表示用户的身份验证信息，如果没有身份验证信息就会显示 -
-:通常用于表示用户的身份验证用户名，如果没有身份验证用户名就会显示 -
[07/May/2024:19:22:11 +0000]:请求的日期和时间，格式为 [日/月/年:时:分:秒时区]
在这个例子中是 [07/May/2024:19:22:11 +0000]
"GET /catalogsearch/result/ HTTP/1.1":请求行，包含请求方法（GET）、请求的路径（/catalogsearch/result/）和 HTTP 版本（HTTP/1.1）
302:HTTP 状态码，表示请求的响应状态
302 是重定向状态码，表示资源已被临时移动到新的位置
5:响应的字节数（响应体大小）
在这个例子中，只有 5 个字节
"https://www.google.com/search?hl=en&q=testing":请求的引用来源（Referer），表示用户从哪个页面点击链接访问的当前页面
在这个例子中，用户从 Google 搜索页面访问
"User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; 360SE)":用户代理字符串（User-Agent），表示请求客户端的详细信息
在这个例子中，用户代理字符串表明客户端是：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; 360SE)这通常表示使用 Internet Explorer 7.0 模拟的浏览器（360 安全浏览器）
综合解释日志记录显示，在 2024 年 5 月 7 日 19:22:11（UTC 时间），来自 IP 地址 104.243.40.15 的用户使用客户端 "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; 360SE)" 访问了路径 /catalogsearch/result/
该请求是从 Google 搜索页面 "https://www.google.com/search?hl=en&q=testing" 中点击链接跳转过来的
服务器返回了 HTTP 状态码 302，表示重定向，并返回了 5 个字节的响应体
由于状态码 302 表示重定向，请求被重定向到另一个页面
因此我们发现这个IP104.243.40.15是攻击者的IP地址
2、使用防火墙禁止访问要使用 UFW 禁止特定 IP 地址的所有访问，可以添加一条 deny 规则
以下是添加规则并验证的步骤：添加规则禁止 IP 地址 104.243.40.15 的所有访问：sudo ufw deny from 104.243.40.15查看规则状态：添加规则后，查看防火墙状态以确保规则已生效：sudo ufw status verbose输出应包含类似以下内容：Status: activeLogging: on (low)Default: deny (incoming), allow (outgoing), disabled (routed)New profiles: skipTo Action From-- ------ ----Anywhere DENY 104.243.40.15使用编号规则如果你愿意，可以使用 numbered 规则查看并删除特定规则
查看规则编号：sudo ufw status numbered删除特定规则：例如，要删除编号为 [5] 的规则：sudo ufw delete 5完整示例以下是完整的防火墙规则配置示例，禁止特定 IP 地址的所有访问，并允许其他常用服务：# 启用 UFWsudo ufw enable# 禁止特定 IP 地址的所有访问sudo ufw deny from 104.243.40.15# 允许 SSHsudo ufw allow 22/tcp# 允许 HTTP 和 HTTPSsudo ufw allow 80/tcpsudo ufw allow 443/tcp# 查看 UFW 状态sudo ufw status verbose3、规则没起作用怎么办？设完了以后，发现访问居然没有停止，难道是我们的规则没有起作用吗？这个时候我们需要来排查规则没有起作用的原因
在 UFW 中，规则的顺序很重要，规则是按照它们的添加顺序进行匹配的
为了确保特定的 IP 地址被禁止访问，你需要将 Deny 规则放在其他允许规则之前
移动规则的方法列出带编号的规则：使用 numbered 参数查看当前的所有规则并为每个规则分配一个编号
sudo ufw status numbered例如，将看到类似以下输出：Status: activeTo Action From-- ------ ----[ 1] 22 ALLOW IN Anywhere[ 2] 80 ALLOW IN Anywhere[ 3] 443 ALLOW IN Anywhere[ 4] 56678 ALLOW IN Anywhere[ 5] 80/tcp ALLOW IN Anywhere[ 6] 22/tcp ALLOW IN Anywhere[ 7] 2222/tcp ALLOW IN Anywhere[ 8] 443/tcp ALLOW IN Anywhere[ 9] Anywhere DENY IN 104.243.40.15[10] 22 (v6) ALLOW IN Anywhere (v6)[11] 80 (v6) ALLOW IN Anywhere (v6)[12] 443 (v6) ALLOW IN Anywhere (v6)[13] 56678 (v6) ALLOW IN Anywhere (v6)[14] 80/tcp (v6) ALLOW IN Anywhere (v6)[15] 22/tcp (v6) ALLOW IN Anywhere (v6)[16] 2222/tcp (v6) ALLOW IN Anywhere (v6)[17] 443/tcp (v6) ALLOW IN Anywhere (v6)删除旧的 Deny 规则：删除当前的 Deny 规则（根据编号，例如 [9]）：sudo ufw delete 9重新添加 Deny 规则：重新添加禁止特定 IP 地址的规则，以确保它在所有允许规则之前：sudo ufw insert 1 deny from 104.243.40.15insert 命令将规则插入到指定的位置
在这里，将 Deny 规则插入第一位，使其优先级最高
查看最终状态：确认规则已正确生效并位于首位：sudo ufw status numbered例如：Status: activeTo Action From-- ------ ----[ 1] Anywhere DENY IN 104.243.40.15[ 2] 22 ALLOW IN Anywhere[ 3] 80 ALLOW IN Anywhere[ 4] 443 ALLOW IN Anywhere[ 5] 56678 ALLOW IN Anywhere[ 6] 80/tcp ALLOW IN Anywhere[ 7] 22/tcp ALLOW IN Anywhere[ 8] 2222/tcp ALLOW IN Anywhere[ 9] 443/tcp ALLOW IN Anywhere[10] 22 (v6) ALLOW IN Anywhere (v6)[11] 80 (v6) ALLOW IN Anywhere (v6)[12] 443 (v6) ALLOW IN Anywhere (v6)[13] 56678 (v6) ALLOW IN Anywhere (v6)[14] 80/tcp (v6) ALLOW IN Anywhere (v6)[15] 22/tcp (v6) ALLOW IN Anywhere (v6)[16] 2222/tcp (v6) ALLOW IN Anywhere (v6)[17] 443/tcp (v6) ALLOW IN Anywhere (v6)这样，禁止特定 IP 地址的规则将优先于其他规则，使其生效
4、查看分析UFW日志修改完了规则以后，可以去防火墙日志观看生效情况，UFW日志一般在/var/log/ufw.log文件当中
查看日志可以看到类似于这种拦截日志
我们取其中的一条日志进行分析：May 8 12:33:23 ip-172-38-3-214 kernel: [56099670.916763] [UFW BLOCK] IN=ens5 OUT= MAC=06:49:e1:69:e5:f3:06:76:1b:bb:15:0f:08:00 SRC=172.39.7.133 DST=172.38.3.214 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=3306 DPT=58636 WINDOW=0 RES=0x00 RST URGP=0这个日志条目来自一个运行在Linux系统上的服务器，它记录了防火墙（UFW，Uncomplicated Firewall）阻止了一个网络连接尝试
下面是该日志的详细解析：时间：May 8 12:33:23 表示事件发生的具体时间
主机名/IP地址：ip-172-38-3-214 是产生日志的服务器的IP地址或主机名
日志来源：kernel: 指出这条信息是由内核记录的
事件微秒时间：[56099670.916763] 是事件发生时相对于某个参考点的精确时间（微秒级）
UFW操作：[UFW BLOCK] 显示这是一个UFW防火墙阻止的操作
网络接口：IN=ens5 表示数据包是从网络接口ens5进入的
OUT= 空表示没有数据包尝试从该服务器外出（即响应包未生成）
MAC地址：源MAC地址06:49:e1:69:e5:f3和目的MAC地址06:76:1b:bb:15:0f，分别标识了发起连接的设备和目标设备的物理地址
网络层信息：SRC=172.39.7.133 指发起连接的源IP地址
DST=172.38.3.214 是目的IP地址，即这台服务器的IP地址
LEN=40 表示数据包的总长度为40字节
TOS=0x00、PREC=0x00 分别是服务类型和优先级，这里都是默认值
TTL=64 是生存时间（Time to Live），表示数据包在网络中的最大跳数，这里是64
ID=0 数据包的标识符
DF 表示"不要分片"标志被设置，意味着数据包不能被路由器分片
传输层信息：PROTO=TCP 表明使用的是TCP协议
SPT=3306 源端口是3306，通常与MySQL数据库服务相关
DPT=58636 目的端口是58636，这是一个比较随机的高端口，可能是客户端为了建立连接而使用的临时端口
WINDOW=0、RES=0x00 是TCP头部的窗口大小和保留字段，这里窗口大小为0可能是因为RST标志（下文解释）
RST 表示这是一个复位（Reset）标志，意在告诉对方连接请求不被接受或连接已异常终止
URGP=0 无操作，因为这是TCP包，非ICMP包中的相关内容
综上所述，这条日志说明在2023年5月8日12:33:23，一台IP地址为172.39.7.133的设备尝试通过TCP协议从端口3306（通常为MySQL服务端口）连接到IP地址为172.38.3.214的这台服务器的58636端口
由于防火墙规则，这个连接请求被UFW阻止，并发送了一个RST标志来拒绝该连接
总结通过 UFW 防火墙，我们可以轻松地封锁恶意 IP，保护服务器免受攻击
主要步骤包括：确保 UFW 已启用并设置默认策略
开放必要的端口并封锁恶意 IP
启用日志记录，实时监控防火墙活动
合理使用 UFW 防火墙规则和日志监控，有助于提升服务器的安全性并阻止未经授权的访问