Localizando todos os intervalos de IP pertencentes a um ISP específico

Navegue suas respostas
9

Estou tendo um problema com um determinado indivíduo que continua raspando meu site de maneira agressiva; desperdiçando largura de banda e recursos da CPU. Já implementei um sistema que ata meus logs de acesso ao servidor web, adiciona cada novo IP a um banco de dados, rastreia o número de solicitações feitas a partir desse IP e, em seguida, se o mesmo IP passar por um certo limite de solicitações um determinado período de tempo, é bloqueado via iptables. Pode parecer elaborado, mas, até onde eu sei, não existe uma solução pré-fabricada projetada para limitar um determinado IP a uma certa quantidade de largura de banda / solicitações.

Isso funciona bem para a maioria dos rastreadores, mas um indivíduo extremamente persistente está recebendo um novo IP de seu pool de ISPs toda vez que é bloqueado. Eu gostaria de bloquear completamente o ISP, mas não sei como fazê-lo.

Fazendo um whois em alguns exemplos de IPs, vejo que todos compartilham o mesmo "netname", "mnt-by" e "origin / AS". Existe uma maneira que eu possa consultar o banco de dados ARIN / RIPE para todas as sub-redes usando o mesmo mnt-by / AS / netname? Se não, de que outra forma eu poderia obter todos os IP pertencentes a este ISP?

Obrigado.

    
por MadHatter 14.06.2010 / 19:01

4 respostas

5

whois [IP address] (ou whois -a [IP Address] ) geralmente fornece uma máscara CIDR ou um intervalo de endereços que pertence à empresa / provedor em questão, mas a análise dos resultados é deixada como um exercício para o leitor (há pelo menos 2 formatos comuns de saída whois).

Observe que esse bloqueio por atacado também pode prejudicar usuários legítimos. Antes de adotar essa abordagem, entre em contato com o departamento de abuso do ISP em questão (normalmente listado em whois information para seu netblock ou domínio DNS, caso contrário, abuse @ é um bom lugar para começar) para ver se a situação pode ser resolvida diplomaticamente em vez de tecnicamente.

Observe também que são algumas soluções pré-fabricadas para limitar pedidos por segundo por IP - Confira mod -qos ou as capacidades de firewall / modelagem de tráfego do seu sistema.

    
por 14.06.2010 / 19:24
4

Descobri isso sozinho. Mais ou menos.

robtex.com lista todos os intervalos IP anunciados para um determinado AS em: link

Ainda não sei como ou onde o robtex recupera essa informação. Se alguém quiser entrar em contato e explicar de onde os dados vêm, isso seria ótimo.

    
por 14.06.2010 / 23:20
2

Como você tem acesso ao iptables, eu assumirei que você tem um acesso root no sistema. Neste caso, eu sugeriria instlling Fail2Ban que apenas bloquearia um IP (por um certo tempo que você decidir) se eles tentassem abusar de um serviço (HTTP, DNS, Mail, SSH, etc) acessando a porta de serviço como N vezes dentro do período X. (todos os usuários decidiram.)

Estou usando isso no meu servidor e estou obtendo resultados muito bons. especialmente com aqueles hackers que querem atacar meu SSH.

acesse minha página inicial para mais informações. Eu tenho uma postagem no blog sobre o fail2ban.

    
por 09.03.2012 / 18:54
-1

Você pode tentar esta ferramenta . Não é rápido, mas funciona.

    
por 23.01.2013 / 09:12

Tags

Execute um servidor de configuração do MongoDB sem 3 GB de arquivos de diário phpPgAdmin exportando despejo SQL vazio?