安全组规则中的CIDR网段格式

TLDR    2021年8月30日

最近在研究一些常见的网络安全的问题,特别是SSH暴力破解问题。SSH是Secure Shell的缩写,有了服务器的IP地址、端口、管理账号和密码,主要是root帐号,即可进行远程登录服务器,主要用于Unix系统的机器,包括Linux、Centos、Debian、Ubuntu等服务器。

一些人会用SSH密码暴力破解工具进行登录尝试,这个从你登录成功后可以看到,在命令行中会有提示,告诉你自从上次登录成功后到现在有多少次尝试。当然,这些尝试基本都是失败的,如果不失败则你的服务器就被攻陷,沦为肉鸡或者被破坏甚至收到勒索的邮件。由此可见,给root等相关管理帐号设置一个复杂的登录密码,还是非常有必要的。

除了设置一个复杂的登录密码,还有一个办法就是禁止22端口的使用,这样所有ssh登录都是有来无回,超时time out。不过这又影响正常的登录,所以需要允许一些指定的IP可以SSH登录,即给服务器设置一个安全组规则。这些IP可以直接指定具体的IP,也可以指定某一个网段里所有的IP。

安全组规则中可以设置单一IP地址,例如192.168.0.8,也可以设置一个IP地址段,例如192.168.0.0/16。其中192.168.0.0/16用的是CIDR网段格式。

CIDR,英文全称是Classless Inter-Domain Routing。CIDR采用斜线标记法:IP地址/网络ID的位数,位数一般为8、16、24,当然也可以用其它的数,表示IPv4地址时这个数不要超过32,IPv6可以的。CIDR是互联网中一种新的寻址方式,与传统的A类、B类和C类寻址模式相比,CIDR在IP地址分配方面更为高效。

所有IP: 0.0.0.0/0

A级段: 192.168.0.0/8
表示IP: 192.0.0.0 ~ 192.255.255.255
子网掩码: 255.0.0.0

B级段: 192.168.0.0/16
表示IP: 192.168.0.0 ~ 192.168.255.255
子网掩码: 255.255.0.0

C级段: 192.168.0.0/24
表示IP: 192.168.0.0 ~ 192.168.0.255
子网掩码: 255.255.255.0