Sí, pero probablemente no por el efecto que deseas.
Los bloques de IP no se asignan realmente a los países. Los registradores responsables de la asignación de IP abarcan fronteras geopolíticas. Como resultado, no existe un mapeo contiguo de países a rangos de direcciones IP. Por lo tanto, no podría, en una sola regla (o incluso un número razonable de reglas), bloquear el tráfico de un país de origen sin también bloquear el tráfico de otros países.
Sin embargo, existen bases de datos que asignan los atributos del operador actual de una asignación de rango de direcciones a sus IP. Dos de estos atributos son la nación y la localidad de registro de la entidad tenedora. Para un individuo, este será su pueblo / ciudad de residencia en el momento en que solicitó la asignación. Para las entidades comerciales, esta será la localidad de su domicilio social que se proporciona al solicitar su asignación.
- ¿Qué pasaría si comprara todas las direcciones IPv6?
- ¿Cómo funciona el direccionamiento IP de una subred para IPv4 e IPv6?
- ¿Qué sucede después de descifrar IPS?
- ¿Hay programas gratuitos para cambiar mi ubicación de IP?
- ¿Qué ISP de EE. UU. Eliminan sus registros de direcciones IP de sus suscriptores en seis meses o menos?
Como resultado, estas bases de datos no son 100% confiables para identificar el país de origen de un paquete IP. IBM, por ejemplo, tiene oficinas en todo el mundo y, sin embargo, dependiendo de la dirección que se proporcionó al solicitar una asignación de bloque de IP en particular, el tráfico de Internet de cualquiera de ellos puede parecer que proviene de los EE. UU.
He observado que algunos proveedores de Internet por satélite tienen un efecto similar. Estaban basados en los EE. UU. Y los rangos de IP estática que asignaron a sus clientes en todo el mundo se registraron en los EE. UU., Lo que hace que los dispositivos SIEM se basen en el informe de la base de datos GeoIP de Maxmind de que realmente estaban en los EE. UU.
Para entidades grandes, la granularidad de la identificación solo por dirección IP es típicamente el Sistema Autónomo o AS, que no lo ayuda a tratar de bloquear específicamente el tráfico de un país determinado.
En general, alguien con su intención utilizará una base de datos GeoIP y aceptará la tasa relativamente baja de falsos positivos y falsos negativos.
Personalmente, creo que una mejor estrategia es bloquear las fuentes de tráfico en función de su comportamiento. No es perjudicial y, por lo tanto, evita que usuarios legítimos (o clientes) accedan a sus servicios. También está cerca del 100% de precisión. Solo necesita la capacidad de identificar el comportamiento nefasto muy rápidamente (es decir, antes de que se produzca el daño) y proporcionar una respuesta automatizada, generalmente manteniendo presionada la IP de origen (es decir, eliminando todo el tráfico) durante un período configurable. Dije “cerca del 100%” porque habrá algunos falsos positivos. Por lo general, esto ocurre cuando varios (a veces muchos) usuarios de Internet se conectan a través de un servicio proxy, se conectan a un rango de IP compartido o se les asigna dinámicamente una dirección que aún está en su período de prohibición.
