Recherche de toutes les plages IP appartenant à un FAI spécifique

10

J'ai un problème avec une certaine personne qui continue de gratter mon site de manière agressive; gaspillage de bande passante et de ressources CPU. J'ai déjà implémenté un système qui répertorie mes journaux d'accès au serveur Web, ajoute chaque nouvelle IP à une base de données, garde une trace du nombre de demandes effectuées à partir de cette IP, puis, si la même IP dépasse un certain seuil de demandes dans une certaine période de temps, il est bloqué via iptables. Cela peut sembler élaboré, mais pour autant que je sache, il n'existe aucune solution préconçue conçue pour limiter une certaine IP à une certaine quantité de bande passante / de demandes.

Cela fonctionne bien pour la plupart des robots, mais une personne extrêmement persistante obtient une nouvelle adresse IP de son pool de FAI chaque fois qu'ils sont bloqués. Je voudrais bloquer complètement le FAI, mais je ne sais pas comment procéder.

En faisant un whois sur quelques exemples d'IP, je peux voir qu'ils partagent tous le même "netname", "mnt-by" et "origin / AS". Existe-t-il un moyen de rechercher la base de données ARIN / RIPE pour tous les sous-réseaux en utilisant le même mnt-by / AS / netname? Sinon, comment pourrais-je faire pour obtenir chaque IP appartenant à ce FAI?

Merci.

Chapelier Fou
la source
1
Avez-vous pensé que l'auteur pouvait utiliser des machines compromises plutôt que d'obtenir une nouvelle adresse IP à chaque fois?
John Gardeniers
CloudFlare offre-t-il des options pour limiter la bande passante par utilisateur / IP? Je ne les ai pas utilisés mais je pensais que oui. Ce serait le moyen le plus simple, imo, utilisez simplement un service pour faire le tout pour vous.
markspace

Réponses:

6

whois [IP address](ou whois -a [IP Address]) vous donnera généralement un masque CIDR ou une plage d'adresses qui appartient à l'entreprise / au fournisseur en question, mais l'analyse des résultats est laissée comme exercice pour le lecteur (il existe au moins 2 formats de sortie whois courants).

Notez qu'un tel blocage en gros peut également potentiellement éliminer les utilisateurs légitimes. Avant d'adopter cette approche, vous devez contacter le bureau des abus du FAI en question (généralement répertorié dans les whoisinformations de leur netblock ou domaine DNS, sinon abuse @ est un bon point de départ) pour voir si la situation peut être résolue diplomatiquement plutôt que techniquement. .


Notez également qu'il existe des solutions prédéfinies pour limiter les demandes par seconde par IP - Consultez mod-qos ou les capacités de mise en forme du pare-feu / trafic de votre système.

voretaq7
la source
Je sais que la sortie whois vous donne une plage d'adresses, mais ce FAI semble avoir des plages partout. par exemple (ce ne sont pas les adresses réelles d'ailleurs) l'araignée proviendra de 46.84. *. *, puis 88.98. *. * et ainsi de suite. Il n'y a pas de schéma évident autre que ce qui a été noté dans ma question (même AS et mainteneur en whois). Si vous contactez leur service d'abus, les e-mails seront envoyés directement à / dev / null. C'est un FAI chinois. Quant au mod-qos? Limiter la demande par seconde est inutile. L'araignée n'est pas si agressive. Je ne vois pas non plus de moyen évident de faire ce que je veux via iptables.
6

Je l'ai compris moi-même. Sorte de.

robtex.com répertorie toutes les plages IP annoncées pour un AS donné sur: http://www.robtex.com/as/as123.html#bgp

Je ne sais toujours pas comment ni où robtex récupère ces informations. Si quelqu'un d'autre veut intervenir et expliquer d'où viennent les données, ce serait bien.


la source
2
il est extrait des annonces BGP qu'ils voient à partir d'un routeur connecté.
user6738237482
un utilisateur anonyme l'a - le seul moyen que je connaisse de pouvoir collecter ces données est de supprimer les annonces BGP et de créer une table de routage avec les numéros AS.
voretaq7
Je suppose que les annonces BGP ne sont pas accessibles au grand public?
1
Je pense que ce site est en panne maintenant.
1
ce lien semble être rompu maintenant. Y a-t-il ailleurs que les mêmes informations sont disponibles?
Karl Glennon
2

Puisque vous avez accès à iptables, je suppose que vous avez quand même un accès root sur le système. Dans ce cas, je suggérerais d'installer Fail2Ban qui bloquera simplement une IP (pendant un certain temps, vous décidez) s'ils essaient d'abuser d'un service (HTTP, DNS, Mail, SSH ..etc) en frappant le port de service comme N fois dans la période X. (tous les utilisateurs ont décidé.)

J'utilise cela sur mon serveur et j'obtiens de très bons résultats. spécialement avec ces hackers chinois qui veulent toucher mon SSH.

cliquez sur ma page d'accueil pour plus d'informations. J'ai un article de blog sur fail2ban.

Aly Badawy
la source
-1

Vous pouvez essayer cet outil . Ce n'est pas rapide, mais ça marche.

pseudo
la source
1
Bienvenue dans Server Fault! Veuillez lire notre FAQ en particulier. Puis-je promouvoir des produits ou des sites Web auxquels je suis affilié ici? .
user9517
1
Ce site est cassé. Mais juste curieux de savoir ce qui vous amène à conclure que l'op fait la promotion de son produit. Comment allez-vous faire la différence en partageant une véritable information utile et une promotion de produit faite maison?
Talespin_Kit