Menemukan semua rentang IP milik ISP tertentu


10

Saya mengalami masalah dengan seseorang tertentu yang terus menggesek situs saya secara agresif; membuang-buang bandwidth dan sumber daya CPU. Saya sudah menerapkan sistem yang mengekor log akses server web saya, menambahkan setiap IP baru ke database, melacak jumlah permintaan yang dibuat dari IP itu, dan kemudian, jika IP yang sama melewati batas permintaan tertentu dalam periode waktu tertentu, itu diblokir melalui iptables. Mungkin terdengar rumit, tetapi sejauh yang saya tahu, tidak ada solusi pra-dibuat yang dirancang untuk membatasi IP tertentu ke sejumlah bandwidth / permintaan.

Ini berfungsi dengan baik untuk sebagian besar perayap, tetapi orang yang sangat gigih mendapatkan IP baru dari kumpulan ISP-nya setiap kali diblokir. Saya ingin memblokir ISP sepenuhnya, tetapi tidak tahu bagaimana cara melakukannya.

Melakukan whois pada beberapa sampel IP, saya dapat melihat bahwa mereka semua berbagi "netname" yang sama, "mnt-by", dan "origin / AS". Apakah ada cara saya dapat melakukan query database ARIN / RIPE untuk semua subnet menggunakan mnt-by / AS / netname yang sama? Jika tidak, bagaimana lagi saya bisa mendapatkan setiap IP milik ISP ini?

Terima kasih.


1
Sudahkah Anda mempertimbangkan bahwa pelaku mungkin menggunakan mesin yang dikompromikan daripada mendapatkan alamat IP baru setiap kali?
John Gardeniers

Apakah CloudFlare menawarkan opsi untuk membatasi bandwidth oleh pengguna / IP? Saya belum menggunakannya tetapi saya pikir mereka menggunakannya. Itu akan menjadi cara termudah, imo, cukup gunakan layanan untuk melakukan semuanya untuk Anda.
markspace

Jawaban:


6

whois [IP address](atau whois -a [IP Address]) biasanya akan memberi Anda topeng CIDR atau rentang alamat milik perusahaan / penyedia yang bersangkutan, tetapi penguraian hasilnya dibiarkan sebagai latihan untuk pembaca (setidaknya ada 2 format output whois umum).

Perhatikan bahwa pemblokiran grosir semacam itu juga dapat berpotensi melumpuhkan pengguna yang sah. Sebelum mengambil pendekatan ini, Anda harus menghubungi meja penyalahgunaan di ISP yang bersangkutan (biasanya tercantum dalam whoisinformasi untuk netblock atau domain DNS mereka, jika tidak, penyalahgunaan @ adalah tempat yang baik untuk memulai) untuk melihat apakah situasinya dapat diselesaikan secara diplomatis daripada secara teknis .


Juga mencatat bahwa ada yang beberapa solusi pra-dibuat untuk permintaan batas per detik oleh IP - Periksa mod-QoS atau firewall / lalu lintas sistem anda capibilities membentuk.


Saya tahu keluaran whois memberi Anda rentang alamat, tetapi ISP ini tampaknya memiliki rentang di semua tempat. misal (ini bukan alamat sebenarnya) laba-laba akan berasal dari 46,84. *. *, lalu 88,98. *. * dan seterusnya. Tidak ada pola yang jelas selain apa yang dicatat dalam pertanyaan saya (AS dan pengelola yang sama dalam whois). Menghubungi departemen pelecehan mereka akan menghasilkan email yang dikirim langsung ke / dev / null. Ini ISP Cina. Seperti untuk mod-qos? Membatasi permintaan per detik tidak berguna. Laba-laba itu TIDAK agresif. Saya juga tidak bisa melihat cara yang jelas untuk melakukan apa yang saya inginkan melalui iptables.

6

Mencari tahu sendiri. Semacam.

robtex.com mencantumkan semua rentang IP yang diumumkan untuk AS tertentu di: http://www.robtex.com/as/as123.html#bgp

Masih tidak tahu bagaimana atau dari mana robtex mengambil info ini. Jika orang lain ingin berpura-pura dan menjelaskan dari mana data berasal, itu akan bagus.


2
itu diambil dari pengumuman BGP yang mereka lihat dari router yang terhubung.
user6738237482

pengguna anonim memilikinya - satu-satunya cara saya tahu mereka bisa mengumpulkan data adalah untuk mengikis pengumuman BGP & membangun tabel routing dengan nomor AS.
voretaq7

Saya menganggap pengumuman BGP tidak dapat diakses oleh masyarakat umum?

1
Saya pikir situs ini rusak sekarang.

1
tautan ini tampaknya rusak sekarang. Apakah ada tempat lain di mana info yang sama tersedia?
Karl Glennon

2

Karena Anda memiliki akses ke iptables, saya akan menganggap Anda memiliki akses root pada sistem. Dalam hal ini, saya akan menyarankan menginstal Fail2Ban yang hanya akan memblokir IP (untuk waktu tertentu Anda memutuskan) jika mereka mencoba untuk menyalahgunakan layanan (HTTP, DNS, Mail, SSH .. dll) dengan menekan port layanan sebanyak N kali dalam periode X. (semua pengguna memutuskan.)

Saya menggunakannya di server saya dan saya mendapatkan hasil yang sangat baik. khususnya dengan peretas chinease yang ingin menabrak SSH saya.

tekan beranda saya untuk informasi lebih lanjut. Saya punya posting blog tentang fail2ban.


Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.