长亭百川云 - 文章详情

为WAF黑名单中的IP设置过期时间

楼兰学习网络安全

68

2024-07-13

IP地址总是具有时效性,彼时的恶意IP过一段时间后,或许便会变成正常的IP;及时删除黑名单中的IP可以减少误拦截、释放资源、降低维护成本。

谢谢小石、LzSkyline、柚子的见解,收获很多。

什么时候删除黑名单中的IP

或许可以使用下面这些逻辑:
1)IP地址已被加到白名单中时,清除黑名单中的IP地址;

2)当IP地址的行为恢复正常时清除IP;

3)设置过期时间,当阻断时间到期时清除IP地址(本文讨论这种方式);

4)IP地址长时间未访问组织时清除IP。

为黑名单中的IP设置多少过期时间

参考IP地址的应用场景、地理位置、IoC情报、访问记录等来为黑名单中的IP设置标签,根据目标IP携带的标签和计算公式来生成过期时间。

新IP:首次攻击/首次加入黑名单。

然后我们可以对这些标签赋予对应的公式:

应用场景也是如此:

至此,我们便可以通过公式来计算拦截时间,示例:

目标IP携带的标签:旧IP、非业务区域、黑IP、云服务器。

24H * 4 * 4 * 2 = 768小时,合计32天

目标IP携带的标签:新IP、业务区域、非黑IP、移动网络。

1H * 1.1 * 1.1 * 1.1 = 1.331小时

再看一下网上的分析,在威胁IP TOP 1K中存活时间低于7天的占比73%

在威胁IP TOP 1K中存活时间低于30天的占比75%

所以说7天、30天是两个很有价值的阈值,跟公式的计算结果还是蛮温和的。

那么,我们可以考虑在使用API增加黑名单融入计算公式,在管理页面手动增加黑名单配置快捷选项:

默认设置封禁时长为1小时,通过勾选1天,将封禁时长快速设置为24小时:

也可以通过自定义来设置过期时间:

参考资料

1、https://www.ipip.net/product/usage.html

2、https://www.threatstop.com/blog/how-long-does-an-ip-address-stay-infected

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2