У меня проблема с неким человеком, который продолжает агрессивно чистить мой сайт; тратить трафик и ресурсы процессора. Я уже внедрил систему, которая отслеживает журналы доступа к моему веб-серверу, добавляет каждый новый IP-адрес в базу данных, отслеживает количество запросов, сделанных с этого IP-адреса, и затем, если тот же IP-адрес превышает определенный порог запросов в пределах определенный период времени, он блокируется через iptables. Это может показаться сложным, но, насколько мне известно, не существует заранее подготовленного решения, предназначенного для ограничения определенного IP-адреса до определенной полосы пропускания / запросов.
Это прекрасно работает для большинства сканеров, но чрезвычайно настойчивый человек получает новый IP из своего пула ISP каждый раз, когда они блокируются. Я бы хотел полностью заблокировать интернет-провайдера, но не знаю, как это сделать.
Делая whois на нескольких типовых IP-адресах, я вижу, что все они используют одно и то же «netname», «mnt-by» и «origin / AS». Есть ли способ запросить базу данных ARIN / RIPE для всех подсетей, используя один и тот же mnt-by / AS / netname? Если нет, как еще я могу получить все IP, принадлежащие этому провайдеру?
Спасибо.
источник
Ответы:
whois [IP address]
(илиwhois -a [IP Address]
) обычно выдает вам маску CIDR или диапазон адресов, которые принадлежат рассматриваемой компании / провайдеру, но анализ результатов оставляется для читателя как упражнение (существует как минимум 2 распространенных формата вывода whois).Обратите внимание, что такая массовая блокировка также может выбить законных пользователей. Перед тем, как воспользоваться этим подходом, вам следует связаться со
whois
службой по борьбе со злоупотреблениями в соответствующем интернет-провайдере (обычно она указана в сведениях об их сетевом блоке или домене DNS, в противном случае рекомендуется использовать злоупотребление @), чтобы выяснить, можно ли разрешить ситуацию дипломатическим, а не технически ,Также обратите внимание , что есть некоторые предварительно сделанные решения предельных запросов в секунду по IP - Проверьте моды-QoS или capibilities формующего брандмауэра / трафик системы.
источник
Разобрался сам. Вроде.
robtex.com перечисляет все объявленные диапазоны IP-адресов для данной AS по адресу: http://www.robtex.com/as/as123.html#bgp
До сих пор не знаю, как или откуда robtex получает эту информацию. Если кто-то еще хочет присоединиться и объяснить, откуда поступают данные, это было бы здорово.
источник
Поскольку у вас есть доступ к iptables, я предполагаю, что у вас все равно есть root-доступ в системе. В этом случае я бы предложил установить Fail2Ban, который просто заблокирует IP (на определенное время, которое вы решите), если они попытаются злоупотребить службой (HTTP, DNS, Mail, SSH .. и т. Д.), Нажав порт службы как N раз в течение X периода. (все пользователи решили.)
Я использую это на моем сервере, и я получаю очень хорошие результаты. особенно с теми хакерами, которые хотят попасть в мой SSH.
нажмите на мою домашнюю страницу для получения дополнительной информации. У меня есть сообщение в блоге о fail2ban.
источник
Вы можете попробовать этот инструмент . Это не быстро, но работает.
источник