특정 ISP에 속하는 모든 IP 범위 찾기


10

공격적인 방식으로 내 사이트를 계속 긁는 특정 개인에게 문제가 있습니다. 대역폭 및 CPU 리소스 낭비 웹 서버 액세스 로그를 확장하고 데이터베이스에 새 IP를 각각 추가하고 해당 IP의 요청 수를 추적 한 다음 동일한 IP가 특정 요청 임계 값을 초과하는 시스템을 이미 구현했습니다. 특정 기간 동안 iptables를 통해 차단됩니다. 정교하게 들릴지 모르지만 내가 아는 한 특정 IP를 특정 양의 대역폭 / 요청으로 제한하도록 설계된 사전 제작 된 솔루션은 없습니다.

이것은 대부분의 크롤러에게는 잘 작동하지만 매우 영구적 인 개인은 차단 될 때마다 ISP 풀에서 새 IP를 받고 있습니다. ISP를 완전히 차단하고 싶지만 어떻게해야할지 모르겠습니다.

몇 가지 샘플 IP에서 whois를 수행하면 모두 동일한 "netname", "mnt-by"및 "origin / AS"를 공유한다는 것을 알 수 있습니다. 동일한 mnt-by / AS / netname을 사용하여 모든 서브넷에 대해 ARIN / RIPE 데이터베이스를 쿼리 할 수있는 방법이 있습니까? 그렇지 않은 경우이 ISP에 속하는 모든 IP를 가져 오려면 어떻게해야합니까?

감사.


1
가해자가 매번 새로운 IP 주소를 얻는 대신 손상된 시스템을 사용하고 있다고 생각 했습니까?
John Gardeniers 2016 년

CloudFlare는 사용자 / IP 별 대역폭 제한 옵션을 제공합니까? 나는 그것들을 사용하지 않았지만 그들이 생각했다고 생각합니다. 가장 쉬운 방법입니다. imo, 서비스를 사용하여 모든 일을 처리하십시오.
markspace

답변:


6

whois [IP address](또는 whois -a [IP Address])는 일반적으로 문제의 회사 / 제공자에게 속한 CIDR 마스크 또는 주소 범위를 제공하지만 결과를 파싱하는 것은 독자를위한 연습으로 남아 있습니다 (적어도 2 개의 공통 whois 출력 형식이 있습니다).

이러한 도매 차단은 합법적 인 사용자를 제압 할 수도 있습니다. 이 접근 방식을 취하기 전에 해당 ISP의 남용 데스크 (일반적으로 whois넷 블록 또는 DNS 도메인 에 대한 정보에 나와 있습니다. .


또한 IP로 초당 요청을 제한 하는 몇 가지 사전 작성된 솔루션이 있습니다. mod-qos 또는 시스템의 방화벽 / 트래픽 쉐이핑 기능을 확인하십시오.


whois 출력이 주소 범위를 제공한다는 것을 알고 있지만이 ISP는 사방에 범위가있는 것 같습니다. 예를 들어 (이것은 실제 주소가 아닙니다) 거미는 46.84. *. *에서 88.98. *. * 등에서 나옵니다. 내 질문에 언급 된 것 이외의 명확한 패턴은 없습니다 (후이의 AS 및 관리자와 동일). 학대 부서에 연락하면 이메일이 / dev / null로 바로 전송됩니다. 중국 ISP입니다. mod-qos는? 초당 요청 제한은 쓸모가 없습니다. 거미는 공격적이지 않습니다. iptables를 통해 원하는 것을 할 수있는 확실한 방법을 볼 수 없습니다.

6

내 스스로 알아 냈어 일종의.

robtex.com은 특정 AS에 대해 발표 된 모든 IP 범위를 http://www.robtex.com/as/as123.html#bgp에 나열합니다 .

여전히 robtex가이 정보를 어떻게 또는 어디서 검색하는지 모릅니다. 다른 사람이 데이터를 가져 와서 어디에서 들어오는 지 설명하고 싶다면 좋을 것입니다.


2
연결된 라우터에서 볼 수있는 BGP 공지 사항에서 가져옵니다.
user6738237482

익명의 사용자는 데이터를 수집 할 수있는 유일한 방법은 BGP 알림을 긁어 내고 AS 번호로 라우팅 테이블을 작성하는 것입니다.
voretaq7

일반인이 BGP 공지에 액세스 할 수 없다고 생각합니까?

1
지금이 사이트가 망가진 것 같습니다.

1
이 링크는 이제 끊어진 것 같습니다. 동일한 정보를 사용할 수있는 다른 곳이 있습니까?
Karl Glennon

2

iptables에 액세스 할 수 있기 때문에 어쨌든 시스템에 루트 액세스 권한이 있다고 가정합니다. 이 경우 서비스 포트를 N 번 공격하여 서비스 (HTTP, DNS, Mail, SSH 등)를 악용하려는 경우 IP를 차단하는 Fail2Ban을 설치하는 것이 좋습니다. X 기간 내에. (모든 사용자가 결정했습니다.)

나는 그것을 내 서버에서 사용하고 있으며 매우 좋은 결과를 얻고 있습니다. 특히 내 SSH를 공격하려는 키 네이즈 해커의 경우.

자세한 내용은 내 홈페이지를 누르십시오. fail2ban에 관한 모든 블로그 게시물이 있습니다.


-1

이 도구 를 사용해보십시오 . 빠르지는 않지만 작동합니다.


1
서버 결함에 오신 것을 환영합니다! FAQ 를 읽어보십시오. 여기에 제휴 한 제품이나 웹 사이트를 홍보 할 수 있습니까? .
user9517

1
그 사이트는 망가졌습니다. 그러나 op가 자신의 제품을 홍보한다는 결론에 도달하게 된 이유가 궁금합니다. 진정한 유용한 정보와 자체 제작 된 제품 홍보를 어떻게 차별화 할 것인가?
Talespin_Kit
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.