跳转到主要内容

IP 黑名单

本文约需 2 分钟阅读

IP 阻断列表 (IP Blocklist) 是指登记已确认存在恶意活动的 IP 地址,并自动拒绝来自这些地址访问的列表。通过将其纳入防火墙WAF 的规则,可以在入口处阻断来自已知攻击源的通信。截至 2025 年,通过与威胁情报源自动联动、实时更新阻断列表的运维方式已变得普遍。

现场使用案例

“遭受 DDoS 攻击时,我们将攻击源的 IP 地址段 (/24) 添加到 WAF 的 IP 集中,立即予以阻断。同时从威胁情报源获取相关 C2 服务器的 IP 列表,预防性地添加到阻断列表中。”

阻断列表的种类

公开阻断列表 (如 Spamhaus 、 AbuseIPDB 等) 是在社区中共享垃圾邮件发送源和恶意软件分发源 IP 地址的服务。商用威胁情报源提供精度更高的 IP 信誉信息。自有阻断列表是将自家日志分析检测到的攻击源 IP 独立登记,与 SIEM 联动自动更新的运维方式较为有效。威胁情报书籍 (Amazon)可供系统性学习。

运维场景

当检测到针对 Web 服务器的 DDoS 攻击时,将攻击源的 IP 地址段添加到阻断列表,立即予以遮断。在邮件服务器上,将垃圾邮件发送源的 IP 与基于 DNS 的阻断列表 (DNSBL) 进行比对,拒绝接收。在云环境中,结合 AWS WAF 的 IP 集和 CloudFront 的地理限制,还可以进行以国家为单位的访问控制。将 DNS 安全与 IP 阻断列表并用,可实现多层次的防御。

运维注意事项

IP 阻断列表最大的课题是误报 (假阳性)。如果阻断了共享 IP 地址 (NAT 环境、 CDN 、 VPN),会连正规用户也一并殃及。阻断列表需要定期复查,删除不必要的条目。此外,由于攻击者会频繁更换 IP 地址,因此不要仅依赖阻断列表,应与速率限制及行为分析相结合。用强随机密码保护防火墙的管理控制台也很重要。网络防御书籍 (Amazon)也可作为参考。

相关术语

这篇文章对您有帮助吗?

XHatena