CDN ابری

منظور از IP blacklist چیست؟

Shahin Noei Shahin Noei
15 بازدید 0 دیدگاه 24 آبان 1401
/storage/post-covers/1667736236_2022-11-06_cloud-servers-370x370.png /storage/post-images/1667736236_2022-11-06_cloud-servers-830x250.png
منظور از IP blacklist چیست؟

Ip blacklisting در اصل روشی برای فیلتر کردن آدرس های آی پی نامعتبر یا مخرب از دست یافتن به شبکه است. بلک لیست ها ، لیست های سیاهی هستند که شامل یک یا بازه ای آدرس های IP می شوند که می خواهید آنها را مسدود کنید. می توانید از این لیست ها در کنار فایروال، سیستم های جلوگیری از ورود غیر مجاز (IPS) و یا هر ابزار فیلتر کننده ترافیک دیگری استفاده کنید. ایجاد و راه اندازی این لیست های سیاه شما را قادر می سازند تا ترافیک مخرب را بر مبنای یک سری سیاست از پیش تعریف شده و یا به صورت دستی جدا سازی کنید.

بسیاری از ابزارهای امنیت شبکه ای که از بلک لیست ها استفاده می کنند به شما این امکان را می دهند تا به صورت دستی نیز برخی از آدرس های IP را برای مسدود کردن به آن لیست ها اضافه کنید.

این لیست ها می توانند پس از بررسی های انجام شده از گزارشات یک رویداد خاص یا آپدیت یک نسخه از سیستم ایجاد، بروزرسانی و یا حذف شوند.

5 چالش در بلک لیست کردن IP ها

اگرچه بلک لیست کردن برخی از IP ها برای جلوگیری از دسترسی به شبکه شما می تواند روش خوبی محسوب شود، اما رویکردی بدون خطا و کاملاً صحیح نیست!

شاید به این دلیل که امروزه هکرها روش های جدیدی را توسعه داده اند که می توانند بلک لیست ها را دور بزنند، برخی از این روش ها عبارتند از:

  • تغییر آدرس های IP

بسیاری از مهاجمین بر ترفندهایی کار می کنند که بتوانند از گیر افتادن در بلک لیست نجات یابند. در اولین قدم آنها آدرس های آی پی خود را تغییر می دهند. مسلماً این مجرمین سایبری، چندین یا بازه ای از آدرس های IP در اختیار دارند. که به آنها اجازه می دهد تا در صورت گیر افتادن یک آدرس در بلک لیست، از آدرس های دیگر استفاده کنند.

این تغییرات کار شناسایی هکرها را دشوار تر می کند، که ریسک پیگیری آنها را برایشان کاهش می دهد.

  • IP Spoofing یا جعل آی پی

در مورد حملات لایه شبکه ، مثل DDoS هایی که به اتصالات سه مرحله ای TCP نیاز ندارند، مهاجمین می توانند از جعل آی پی یا IP Spoofing برای تظاهر به استفاده از یک آی پی دیگر استفاده کنند.

این اقدام باعث می شود آنها بتوانند از قرار گرفتن در لیست سیاه دوری کنند، که البته هدف شان را با پنهان سازی هویت شان اجرا خواهند کرد.

این روش می تواند به آنها در فریب دادن سیستم های مانینورینگ نیز کمک کند که امضاهای جعل شده کاملاً سالم و معتبر نمود کنند. در صورت نیاز به کسب اطلاعات بیشتر در خصوص IP Spoofing می توانید به مطلب مرتبط با این موضوع در بلاگ میزبان کلود مراجعه کنید.

  • بات نت ها (Botnets)

بسیاری  از هکرها از بات نت های عظیم و وسیعی کمک می گیرند، که شامل هزاران تا میلیون ها دستگاه کاربران قربانی یا دستگاه های اینترنت اشیاء می شوند.

مهاجمین این دستگاه ها را آلوده کرده و کنترل آنها را در دست می گیرند، یا شاید این بات نت ها را از یک سرویس مخفی هکری خریداری یا اجاره کنند.

با توجه به رشد بات نت ها از لحاظ اندازه و دسترسی شان، بسیاری از مهاجمین از تعداد زیادی آدرس IP برای حملات خود استفاده می کنند که ممکن است با ورود یک دستگاه به بات نت و خروجش، آدرس IP تغییر کند. بلک لیست کردن آی پی ها نمی تواند در چنین سناریوهایی کاربردی داشته باشد.

  • مثبت های کاذب (False Positives)

یکی دیگر از چالش هایی که ممکن است هنگام اجرای IP بلک لیست با آن مواجه شوید، موضوع False positive است. هرچند که به مهاجمین و مسائل امنیتی مرتبط نیست، اما این چالش نیز می تواند عملکرد و کارایی سیستم را مختل کند.

  • شناسایی اشتباه IP

چالش بعدی این است که شاید چند نفر از یک آی پی یکسان استفاده کنند. زمانی که آدرس های IP به صورت داینامیک توزیع می شوند، دقیقاً نمی توانید تشخیص دهید که کاربری که در لحظه در حال استفاده از آی پی است، چه کسی است.

این یعنی اگر آی پی خاصی را بخاطر اقدامات مخرب یک کاربر بلک لیست کنید، ممکن است جلوی یک کاربر معتبر را نیز ار دسترسی به شبکه خود بگیرید.

هوش اعتباری، نسل بعدی IP blacklist ها

با توجه به چالش های موجود در بلک لیست کردن آی پی ها، این روش نمی تواند برای اقدامات امنیتی مدرن کارآمد باشد. پس بجای blacklist کردن، نیم های امنیتی می توانند از تکنولوژی هوش اعتباری یا Reputation Intelligence کمک گیرند.

هوش شهرت، اعتبار یا خوش نامی، در واقع داده هایی از هر کاربر یا مهاجمین است که می تواند فعالیت آنها را از طریق WAF مجاز قلمداد کرده و یا آنها را محدود کند.

داده های هوش اعتباری، اطلاعات مفیدی در خصوص رفتار کاربر در اختیار شما می گذارد که می توانید رفتارهای مشکوک پیاپی را رصد کرده و تاریخچه اقدامات آدرس های IP را مشاهده کنید. این روش به تیم های امنیتی کمک می کند تا تهدیدات را بر اساس این اطلاعات شناسایی کرده و نیاز به ارزیابی تک تک رویدادهای شبکه ای را از میان بر می دارد.

به علاوه، هوش اعتباری می تواند به شما در ردیابی و مسدودسازی اشخاص زیر کمک کند:

  1. آدرس های IP تخریب گر: IP هایی که در حملات دخیل بوده اند.
  2. پروکسی های ناشناس: کاربرانی که از پروکسی سرورهایی می آیند که اطلاعات آی پی آنها را پنهان می کنند.
  3. شبکه های TOR: شبکه های کاربرانی که منابع را به اشتراک می گذارند می توانند توسط هکرها برای پنهان کردن مرجع ترافیک مورد استفاده قرار گیرند.
  4. آدرس های Phishing: آدرس سایت هایی که برای حملات phishing مورد استفاده قرار گرفته اند.
  5. اسپمرهای کامنت ها: آدرس های Ip کاربرانی که محنوا یا پیام های اسپمی ارسال کرده اند.

 

 

اما هوش اعتباری چه اطلاعاتی را می تواند در اختیار ما قرار دهد؟

Reputation intelligence می تواند به شما اطلاعاتی را دهد که از طریق آن بتوانید مهاجمین بالقوه را کم تر کنید. بعلاوه می تواند به شما کمک کند تا به طور موثرتری منابع امنیتی شبکه خود را توزیع و پخش کنید.

در ادامه اطلاعاتی را مشاهده می کنید که می توانید از هوش اعتباری کسب کنید:

  • نمره ریسک (Risk score)

برای هر آدرس آی پی که به شبکه شما دسترسی پیدا کند، یک نمره ریسک اختصاص می یابد. این نمره بر اساس فعالیت های آن آدرس در دو هفته اخیر محاسبه خواهد شد. هر گاه این عدد و شدت آن بر اساس اقدامات آن آدرس بالاتر رود، نمره ریسک نیز افزایش خواهد یافت.

  • جزئیات حمله

جزئیات مربوط به حملاتی که توسط آدرس های IP مشخصی صورت گرفته اند، عبارتند از:

    • نام سازمان دخیل و ASN آن
    • تعداد درخواست های ارسالی در دو هفته اخیر
    • روش های حمله استفاده شده توسط IP
    • هدف های حمله که توسط IP مورد حمله قرار گرفتند.

 

  • هدف گیری جغرافیایی

Geographical targeting اطلاعاتی را مبنی بر مکان هایی که اهداف حمله در آن واقع شده اند، در اختیار شما قرار می دهد. این اطلاعات به شما کمک می کند تا متوجه شوید که بر اساس تاریخچه حملات آن IP ، آیا شما هدف بعدی آن خواهید بود یا نه.

راهکار میزبان کلود

به کمک سرویس های امنیتی حرفه ای و پیشرفته میزبان کلود می توانید به راحتی بلک لیست هایی از آدرس های IP مشکوک و مخرب ایجاد کرده و بر اساس گزارشات امنیتی مدرن داشبورد میزبان کلود، لیست های خود را آپدیت کرده، آدرس های IP را به آنها اضافه کنید و یا بر مبنای تحلیل های خود، لیستی را حذف کنید.

برای بهره مندی از این قابلیت می توانید از سرویس های امنیت ابری میزبان کلود نظیر WAF، فایروال، مقابله با حملات DDoS و یا Rate Limit استفاده کرده و آدرس های مورد نظر را بر مبنای موقعیت جغرافیایی ، فعالیت و تاریخچه اقدامات شان، رصد کرده و دسترسی آنها را مسدود کنید.

جمع بندی

یکی از روش های مقابله با حملات سایبری و جلوگیری از اقدامات سود جویانه هکرها و مهاجمین، بلک لیست کردن آدرس های Ip آنهاست. هرچند که این روش با چالش هایی مواجه است، اما همچنان می تواند در مقابل برخی از حملات از سرویس شما محافظت کند. توصیه می شود از این قابلیت در کنار سرویس های پیشرفته امنیتی نظیر WAF استفاده کنید تا کوچک ترین ریسک های مرتبط با ترافیک مخرب را به حداقل برسانید. در این مطلب شما را با جزئیات مربوط به IP Blacklist آشنا کردیم و در این راستا راهکارهایی برای جلوگیری از حملات را در اختیارتان قرار دادیم. امیدواریم این مطلب نیز برای شما مخاطبین بلاگ میزبان کلود مفید واقع شده باشد.

 

پیشنهاد ویژه

CDN ابری میزبان کلود

سرعت در بارگذاری و تحویل محتوای سایت

سرعت در بارگذاری و تحویل محتوای سایت

سرعت در بارگذاری و تحویل محتوای سایت

سرعت در بارگذاری و تحویل محتوای سایت

مشاهده پلانها
برچسب‌ها :
نویسنده مطلب Shahin Noei

نویسنده مطلب

منظور از IP blacklist چیست؟ 0 دیدگاه