Поиск всех диапазонов IP-адресов, принадлежащих конкретному провайдеру
У меня проблема с неким человеком, который продолжает агрессивно чистить мой сайт; тратить трафик и ресурсы процессора. Я уже внедрил систему, которая отслеживает журналы доступа к моему веб-серверу, добавляет каждый новый IP-адрес в базу данных, отслеживает количество запросов, сделанных с этого IP-адреса, и затем, если тот же IP-адрес превышает определенный порог запросов в пределах определенный период времени, он заблокирован через iptables. Это может показаться сложным, но, насколько я знаю, не существует заранее подготовленного решения, предназначенного для ограничения определенного IP-адреса до определенной полосы пропускания / запросов.
Это прекрасно работает для большинства сканеров, но чрезвычайно настойчивый человек получает новый IP из своего пула ISP каждый раз, когда они блокируются. Я бы хотел полностью заблокировать интернет-провайдера, но не знаю, как это сделать.
Делая whois на нескольких типовых IP-адресах, я вижу, что все они используют одно и то же "netname", "mnt-by" и "origin/AS". Есть ли способ запросить базу данных ARIN/RIPE для всех подсетей, используя один и тот же mnt-by/AS/netname? Если нет, как еще я могу получить все IP, принадлежащие этому провайдеру?
Благодарю.
5 ответов
whois [IP address] (или же whois -a [IP Address]) обычно дает вам маску CIDR или диапазон адресов, который принадлежит рассматриваемой компании / провайдеру, но анализ результатов остается для читателя в качестве упражнения (есть как минимум 2 распространенных формата вывода whois).
Обратите внимание, что такая массовая блокировка также может выбить законных пользователей. Перед тем, как воспользоваться этим подходом, вам следует обратиться в отдел по вопросам злоупотреблений соответствующего интернет-провайдера (обычно whois информацию о своем сетевом блоке или домене DNS, в противном случае лучше начать со злоупотребления @, чтобы выяснить, можно ли разрешить ситуацию дипломатически, а не технически.
Также обратите внимание, что есть некоторые готовые решения для ограничения количества запросов в секунду по IP -адресу. Ознакомьтесь с mod-qos или возможностями брандмауэра / формирования трафика вашей системы.
Разобрался сам. Вроде, как бы, что-то вроде.
robtex.com перечисляет все объявленные диапазоны IP-адресов для данной AS по адресу: http://www.robtex.com/as/as123.html
До сих пор не знаю, как или откуда robtex получает эту информацию. Если кто-то еще хочет присоединиться и объяснить, откуда поступают данные, это было бы здорово.
Поскольку у вас есть доступ к iptables, я предполагаю, что у вас все равно есть root-доступ в системе. В этом случае я бы предложил установить Fail2Ban, который просто заблокирует IP (на определенное время, которое вы решите), если они попытаются злоупотребить службой (HTTP, DNS, Mail, SSH .. и т. Д.), Нажав порт службы как N раз в течение X периода. (все пользователи решили.)
Я использую это на моем сервере, и я получаю очень хорошие результаты. особенно с теми хакерами, которые хотят попасть в мой SSH.
нажмите на мою домашнюю страницу для получения дополнительной информации. У меня есть сообщение в блоге о fail2ban.
Вы можете использовать службу BGP Hurricane Electric.
Если у вас есть IP-адрес и вы хотите узнать все блоки адресов, зарегистрированные в одном ASN, сделайте следующее:
- Перейдите на https://bgp.he.net и найдите IP-адрес, чтобы получить его ASN.
- Найдите ASN.
- Просмотрите таблицы «Префиксы v4» и «Префиксы v6» для всех блоков адресов.
Вы можете попробовать этот инструмент. Это не быстро, но работает.