[主機空間新手攻略37]何謂IP被阻擋與常見的發生的原因與理解誤區,為何怎麼連不上網址,連主機控制台也連不上?該如何確認呢?
瀏覽者ADSL IP(網路IP)阻擋是一個主機空間裡防火牆裡很常見的安全機制,原理就像操作網路銀行錯誤三次被鎖一樣,但許多人不了解IP阻擋的方式與其主從關係,常會在連不上網頁時下意識的覺得主機空間掛掉或有問題了,或者是有反覆有IP被阻擋的情況,造成使用上的困擾。故此篇便針對IP阻擋的情況作一個較仔細全面的說明。
何謂我的ADSL IP(網路IP)被主機空間阻擋
阻擋瀏覽者的ADSL IP(網路IP)連入為防火牆的主要機制(之前有針對防火牆與防毒軟體不同作說明,詳情請點我),主要是指主機空間阻擋某一個外部ADSL IP的連入(IP阻擋的維基說明請點我)。
站在〝一般用戶使用者立場〞來說則是〝對外網路IP〞連不到主機空間;其對外網路IP因裝置連結方式不同而網路IP不同;如:電腦直接接網路的IP、連WIFI的 IP、連手機網路分享IP,其3者的連外網IP訊息都會不一樣,故此如何取得您目前〝對外網路IP〞訊息,可以善用工具查詢,如:本網另篇文章:連不上空間教學裡可得到(請點我)、Whatismyip、WHOIS365。
P.S.若您的網路有是固定與非固定制混合,那網路線連的IP,與連WIFI的IP,可能會不一樣,故直接確認您的IP方式,請使用上述3個工具來確認最為直接(下方有提供3個工具查詢的畫面,且3個查詢的IP都會是一致)
如何驗證我的ADSL IP(網路IP)有被主機空間防火牆阻擋
呈上述,IP阻擋是主機空間某IP的連入,所以當連不上網站時,可以驗證的方式:
①使用其他的網路試連結Ⅰ:如:改使用手機4G/5G、請其他親友試連結,若其他網路可以但目前網路不行,常見是被阻擋了。
P.S.請留意上述說的〝使用其他網路〞非指〝不同裝置〞而是指〝不同的網路方式〞;因若電腦使用WIFI;手機也用WIFI,則2者可能會是同一個IP。
②使用其他的網路試連結Ⅱ:有許多網站有提供網頁版瀏覽器的服務,如:PROXYSITE(如下圖)
P.S.由於此類服務的網站常會消失,故此連結可能會失效,建議可以使用PROXY BROWSER來搜尋。
●下圖於紅框可選要連結的國家主機(這裡是選歐洲);於黃框輸入要連結的網址(這裡是輸入我們官網)
●下圖是瀏覽結果:網頁跑版(此為網頁版瀏覽器常見狀況),但主要是用以確定可以瀏覽即可。
我的ADSL IP(網路IP)被主機空間阻擋常見原因
①Port Scan(何謂Port Scan請點我)原因。
②帳密錯誤登入多次,如:登入控制台(何謂控制台請點我) 、登入FTP、於Webmail或收信裝置(何謂Webmail與收信裝置請點我)登入Mail。
●帳號係指〝完整帳號〞,以cPanel(何謂cPanel請點我)為例:新增的FTP帳號(格式就像Mail一樣,請參詳教學),以教學裡完整的FTP帳號為:mary123@123.com;而Mail帳號(如何於cPanel建立帳號請點我),以教學裡完整的Mail帳號為:test-1@cf.number1.info。常見使用者會只用在新增FTP或Mail帳號時所輸入的前綴,非完整的帳號,導致無法登入。
●密碼:為方便記憶與記錄,許多人習慣於Excel、Word、記事本裡留存帳密,需要使用時直接圈選後複製貼上,然而常常會發生的錯誤在於圈選時圈選到空格,空格也算一碼會無法登入。
●錯誤登入多次包含嚐試登入被暫停的帳號與登入已刪除的MAIL帳號,如:cPanel可以暫停某個Mail帳號使用(教學請點我),若該Mail帳號被暫停了仍嚐試一直要登入,亦會被阻擋;或是收信裝置仍一直在嚐試已移除的MAIL帳號。
③多次ping 網址:ping 的指令是常見用來確認主機是否正常運作或是網址的指向是否解析完成(詳情說明請點我),然而被爛用ping指向會有主機空間安全疑慮(如:關於死亡之ping請點我),故此一般主機空間商會禁止外部IP一直/多次的ping 主機,上述有提供驗證方式,網址是否解析完成亦有其他的查詢方式,故需要請小心使用。
④觸碰到主機空間其他的安全機制,如cPanel裡提供的ModSecrity(關於ModSecurity的cPanel官方說明請點我),此Apachemod_security2
模組為 Apache 提供 ModSecurity Web 應用程式防火牆,因此當瀏覽者的動作有觸碰到ModSecurity時,則瀏覽者的IP將會被阻擋(如何於cPanel取消ModSecurity的教學請點我)。
※阻擋時的log如下,常見此需要程式設計師先確認觸碰到規則,再作網頁程式上的修改與調整,因此動作需要消耗較多的人力、費用與時間。因此大多數使用者會選擇關閉ModSecurity機制。
⑤頻繁多次連續登入主機:頻繁多次連續登入主機除了影嚮主機效能上,也與②多次ping的行為一樣的道理,常見為收信裝置短時間內〝一直傳接/接收〞,舉例以Gmail來說,不僅對空間作限制現在也針對太頻繁的登入會有延遲的狀況產生來作限制,Gmail官方說明請點我。服務的族群不同故此發生在商用主機時,會以阻擋的方式來進行,用以說明此為現在主機空間商裡常見的限制。
●下圖為:2022.09.15於官方說明網頁的畫面截圖(官方的建議為每15分鐘接收一次信件)。
常見我的ADSL IP(網路IP)被主機空間阻擋的理解誤區
①找錯IP被阻擋的原因:承上述,主機空間是針對連結進來的IP有不正常/不正確的登入狀況才會阻擋,比如:某Mail 帳號已於cPanel上刪除了,若收信裝置〝沒有移除該Mail帳號的設定〞則數次傳送/接收後,IP就會被阻擋了。許多使用者會下意識的表示cPanel上已刪除該Mail帳號,但主機空間阻擋的原因為〝錯誤登入多次〞(因cPanel上已沒有該帳號了,卻一直要登入),故合理作法應是檢查所有收信裝置是否確認移除了已於cPanel上刪除的mail帳號,只要不要登入就不會被阻擋。
②主機空間只是被動接收訊息作出反應(非能反向監視):主機空間只能依遇到的狀況作處理,如:承①的案例,當主機空間遇到錯誤登入而阻擋時,只會看的到是哪一個帳號一直要登入,使用POP或IMAP的方式登入,無法詳細知悉是〝哪一台電腦〞的所致;亦或常見使用者會反應沒有操作這麼多次,為何會有這樣多次的的紀錄(而此與軟體會因錯誤連線會時,會一直測試程式後端反覆測試有關),因此主機空間不會知道詳細的操作狀況,確切哪個有問題的裝置仍需要自行逐一排查。
③無法將使用者的IP加到白名單裡:承②由於主機空間沒有〝反向監視〞的功能,故無法知悉每個IP連進來真正意圖且掌握每個人的電腦都絕對安全,因此主機空間僅能設置一旦觸碰到安全機制就阻擋,而白名單則會讓該功能失效故無法添加。
④IP阻擋非〝關閉〞主機:即只有使用被阻擋的IP的裝置連不上主機,其他IP仍可正常連結。最常被關心的問題在於:信件是否還收的到。答案是肯定的,信件仍可以投遞到主機上,只是IP被阻擋者的收信裝置因連不到主機空間,所以無法將信收下來。
⑤IP阻擋規則不會一直不變:隨著大數據的收集愈來愈多,主機空間商會隨著用戶使用習慣、風險考量調整安全系數,因此IP阻擋規則不會一直不變。
⑥IP有分內網與外網:內網IP就是私有IP位置,不允許在外網上傳遞,如:192.168.開頭的IP、127.0開頭的IP(詳情請點我),此不會被主機空間給阻擋,因非真正連外的IP,故此要取得真正連外的IP,請參詳上述<<何謂IP阻擋>>裡提供的3個工具連結,使用瀏覽器來連結確認即可。許多使用者會習慣去探查電腦裡的乙太網路狀況,反而得到的訊息是不需要的。
⑦IPv6連不上IPv4的網路世界:IPv6的網路無法連到IPv4裡,故網址若無AAAA record(詳情請參詳下方註Ⅰ)則IPv6的網路會無法連結到只有指向IPv4的網址,故若您的連結是IPv6,您的主機空間商會請您切換成IPv4的網路環境,隨著IPv6愈來愈常見,最普及為學術單位,故目前該問題容易產生在學校單位,當然未來IPv6應也會加入到主機空間裡來克服該問題。
註Ⅰ.網址的DNS 指向裡,A record針對IPv4指向設定;AAAA record是針對IPv6指向設定(詳情請點我)
當我的ADSL IP(網路IP)被主機空間阻擋後的處理方式
①找主機空間商解除與確認阻擋原因:發現IP有被阻擋的狀況,需要請主機空間商協助解除阻擋,同時也詢問阻擋的原因,方便後續問題的查放。
②確認〝使用端的操作動作〞:承上述<<IP被阻擋理解誤區>>第②點說明,查找阻擋的原因在〝使用端的操作動作/裝置上〞與主機設置的衝突點上,才不會一直不斷反覆的被阻擋。
為何主機空間商會拒絕重覆申請解除ADSL IP(網路IP)阻擋的請求?
因於主機空間的防火牆為所以瀏覽者(即IP)連入主機時的第一道關卡,允許連入後主機apache 才針對每個IP所要求要連結的網域名稱作連結,非每個cPanel帳號有自已的防火牆;而防火牆解除IP阻擋時,需要重啟防火牆,防火牆重啟時=防火牆失去作用,此時會影嚮當時其他IP連入,因此防火牆非一個能緊湊重開的機制。
結論
IP阻擋的規則取決於主機空間商的嚴謹度(考量著安全與穩定),因此不會每個主機空間商的設定都會一樣,且隨著得到使用數據愈來愈多(對於主機有影嚮的行為都會被加以限制),主機空間商也會對於主機設定一直調整,因此平常操作使用方式也會隨之不同,故無一成不變的結論,只有不變調整對抗弱點的設定。
文章來源: https://wpoki.com
GIPHY App Key not set. Please check settings
One Comment