Tìm tất cả các dải IP thuộc về một ISP cụ thể


10

Tôi đang gặp vấn đề với một cá nhân nào đó đang tiếp tục truy quét trang web của tôi một cách hung hăng; lãng phí băng thông và tài nguyên CPU. Tôi đã triển khai một hệ thống theo dõi nhật ký truy cập máy chủ web của tôi, thêm từng IP mới vào cơ sở dữ liệu, theo dõi số lượng yêu cầu được thực hiện từ IP đó, và sau đó, nếu cùng một IP vượt qua một ngưỡng yêu cầu nhất định trong trong một khoảng thời gian nhất định, nó bị chặn thông qua iptables. Nghe có vẻ phức tạp, nhưng theo tôi biết, không tồn tại giải pháp được tạo sẵn nào được thiết kế để giới hạn một IP nhất định ở một lượng băng thông / yêu cầu nhất định.

Điều này hoạt động tốt đối với hầu hết các trình thu thập thông tin, nhưng một cá nhân cực kỳ kiên trì sẽ nhận được IP mới từ nhóm ISP của anh ấy / cô ấy mỗi khi họ bị chặn. Tôi muốn chặn hoàn toàn ISP, nhưng không biết làm thế nào để đi về nó.

Làm một whois trên một vài IP mẫu, tôi có thể thấy rằng tất cả chúng đều có chung "netname", "mnt-by" và "origin / AS". Có cách nào để tôi có thể truy vấn cơ sở dữ liệu ARIN / RIPE cho tất cả các mạng con bằng cách sử dụng cùng mnt-by / AS / netname không? Nếu không, làm thế nào khác tôi có thể nhận được mọi IP thuộc về ISP này?

Cảm ơn.


1
Bạn đã từng nghĩ rằng thủ phạm có thể đang sử dụng các máy bị xâm nhập thay vì nhận địa chỉ IP mới mỗi lần chưa?
John Gardeniers

CloudFlare có cung cấp các tùy chọn để giới hạn băng thông theo người dùng / IP không? Tôi đã không sử dụng chúng nhưng tôi nghĩ rằng họ đã làm. Đó sẽ là cách dễ nhất, imo, chỉ cần sử dụng một dịch vụ để làm toàn bộ cho bạn.
markspace

Câu trả lời:


6

whois [IP address](hoặc whois -a [IP Address]) thường sẽ cung cấp cho bạn mặt nạ CIDR hoặc phạm vi địa chỉ thuộc về công ty / nhà cung cấp được đề cập, nhưng phân tích kết quả được để lại dưới dạng bài tập cho người đọc (có ít nhất 2 định dạng đầu ra whois phổ biến).

Lưu ý rằng việc chặn bán buôn như vậy cũng có khả năng đánh gục người dùng hợp pháp. Trước khi thực hiện phương pháp này, bạn nên liên hệ với bộ phận lạm dụng tại ISP được đề cập (thường được liệt kê trong whoisthông tin cho tên miền netblock hoặc DNS của họ, nếu không lạm dụng @ là một nơi tốt để bắt đầu) để xem liệu tình huống có thể được giải quyết bằng phương pháp ngoại giao thay vì về mặt kỹ thuật .


Cũng lưu ý rằng có một số giải pháp trước khi thực hiện các yêu cầu giới hạn trong một giây bởi IP - Kiểm tra mod-qos hoặc capibilities hình tường lửa / giao thông của hệ thống.


Tôi biết đầu ra whois cung cấp cho bạn một dải địa chỉ, nhưng ISP này dường như có phạm vi ở khắp mọi nơi. ví dụ: đây không phải là địa chỉ thực tế), con nhện sẽ đến từ 46,84. *. *, sau đó là 88,98. *. *, v.v. Không có mô hình rõ ràng nào ngoài những gì được ghi chú trong câu hỏi của tôi (cùng AS và người duy trì trong whois). Liên hệ với bộ phận lạm dụng của họ sẽ dẫn đến việc các email được gửi thẳng đến / dev / null. Đó là một ISP Trung Quốc. Đối với mod-qos? Yêu cầu giới hạn mỗi giây là vô ích. Con nhện không hung dữ. Tôi cũng không thể thấy bất kỳ cách rõ ràng nào để làm những gì tôi muốn thông qua iptables.

6

Tìm ra nó trên của riêng tôi. Sắp xếp

robtex.com liệt kê tất cả các dải IP được công bố cho một AS cụ thể tại: http://www.robtex.com/as/as123.html#bgp

Vẫn không biết làm thế nào hoặc nơi robtex lấy thông tin này từ đâu. Nếu ai đó muốn hòa nhập và giải thích dữ liệu đến từ đâu, điều đó sẽ rất tuyệt.


2
nó được lấy từ các thông báo BGP mà họ nhìn thấy từ một bộ định tuyến được kết nối.
dùng6738237482

Người dùng ẩn danh có nó - cách duy nhất tôi biết họ có thể thu thập dữ liệu đó là quét các thông báo BGP và xây dựng bảng định tuyến với các số AS.
voretaq7

Tôi cho rằng thông báo BGP không thể truy cập được cho công chúng?

1
Tôi nghĩ rằng trang web này bị hỏng bây giờ.

1
liên kết này dường như bị phá vỡ bây giờ. Có nơi nào khác có cùng thông tin không?
Karl Glennon

2

Vì bạn có quyền truy cập vào iptables, tôi sẽ giả sử bạn có quyền truy cập root trên hệ thống. Trong trường hợp này, tôi sẽ đề xuất việc kích hoạt Fail2Ban, thứ sẽ chặn IP (trong một thời gian nhất định mà bạn quyết định) nếu họ cố lạm dụng một dịch vụ (HTTP, DNS, Mail, SSH ..etc) bằng cách nhấn vào cổng dịch vụ như N lần trong khoảng thời gian X (tất cả người dùng quyết định.)

Tôi đang sử dụng nó trên máy chủ của tôi và tôi đang nhận được kết quả rất tốt. đặc biệt với những tin tặc chinease muốn tấn công SSH của tôi.

nhấn trang chủ của tôi để biết thêm thông tin. Tôi có một bài viết trên blog về fail2ban.


-1

Bạn có thể thử công cụ này . Nó không nhanh, nhưng làm việc.


1
Chào mừng bạn đến với Lỗi Máy chủ! Vui lòng đọc của chúng tôi faq nói riêng tháng tôi quảng bá sản phẩm hoặc các trang web tôi đang liên kết với ở đây? .
dùng9517

1
Trang web đó bị hỏng. Nhưng chỉ tò mò điều gì khiến bạn đi đến kết luận rằng op đang quảng bá sản phẩm của mình. Làm thế nào bạn sẽ phân biệt chia sẻ một thông tin hữu ích chính hãng và quảng bá sản phẩm tự làm.
Talespin_Kit
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.