從網上下載到一個匿名ip範圍數據庫,編寫了zeek腳本用於檢測源地址爲匿名的連接。
匿名ip範圍數據庫
數據文件中有多個字段,此處主要用到ip_from,ip_to,proxy_type,ip_from和ip_to不是點分十進制表示,而是對應ip的32位整數表示。
編寫腳本
腳本邏輯: 定義ip範圍和代理類型的表,之後通過Input::add_table讀入數據。從connection中獲取源ip地址提取轉化爲32位的count類型(無符號整型),通過遍歷查找表,若ip在對應範圍,則輸出notice信息。關鍵腳本如下:
測試
使用hping3 僞造代理ip地址測試
hping3 -p 22 -S -a 109.68.150.121 192.168.140.136
在notice.log 查看到相關信息