IP地址白名单过滤器,可配合微步API分析,护网蓝队重保工具。

0X01 工具背景

在护网场景中,作为乙方公司的蓝队防守人员,经常会遇到一些客户具有相当多的不可封禁的IP地址,如负载均衡IP,站前代理IP,内网漏扫IP,云防节点IP地址。 尽管我们在研判流量威胁时,已经确认了这些IP地址确实存在攻击流量,但是在防火墙封锁恶意IP地址的时候,经常要手工剔除这些IP,十分繁琐。 之前笔者在SXF担任应急响应工程师时,经常会看见一线安服工程师因为封锁IP未过滤不可封禁IP地址,导致客户的业务中断甚至全部断网【封锁了出口IP】,最后被记二级黑事件甚至辞退。
于是针对该场景于2022年8月hvv时开发了IP地址的自动过滤工具,并于2023年3月添加了微步自动化查询IP地址和IP属性【是否具备恶意标签】的功能,方便防守人员快速输出威胁IP话术

0X02 使用方法

1.录入白名单的标题,如**XX单位【云防节点】,**输入白名单规则,支持三种IP格式的输入。

2.根据需求启用或新建白名单规则,输入对应的IP段,即可实现IP地址的过滤

3.如果你具有微步的APItoken的话【注意:微步API需要申请,并且非企业用户每天可查询额度固定为50,超出则无法查询】,可以输入APItoken,对IP地址进行威胁查询和地址查询,并过滤出恶意标签的IP地址。

获取微步API的方式: 访问链接:

 https://x.threatbook.com/v5/myApi

注意: 注意确认自己每日的API查询IP的额度,个人用户较少,每天只有50次,建议申请企业用户。

0X03 效果展示

最终结果整理成值守话术,美滋滋~~~~,再也不担心封错IP地址。

0X04 使用注意事项

1.项目目录文件如下

2.项目文件哈希值如下【注意哈希,防止文件损坏或篡改】

SHA1 的 IPFilter.exe 哈希:
ec2302560afdb52b2fe772570df7943808476158
MD5 的 IPFilter.exe 哈希:
f102e67b979a4daefd195ca8e859b537

0X05项目地址

https://github.com/misaki7in/ipfilter

直链下载地址

https://lp.lmboke.com/ipfilter-main.zip