特定のISPに属するすべてのIP範囲を見つける
積極的にサイトをこすり続けている特定の個人に問題があります。帯域幅とCPUリソースの浪費。私はすでにWebサーバーアクセスログを調整し、新しいIPをデータベースに追加し、そのIPからのリクエスト数を追跡し、同じIPが特定のリクエストのしきい値を超えた場合にシステムを実装しました。一定期間、iptablesでブロックされます。複雑に聞こえるかもしれませんが、私の知る限り、特定のIPを特定の量の帯域幅/要求に制限するように設計された事前に作成されたソリューションはありません。
これはほとんどのクローラーで正常に機能しますが、非常に永続的な個人は、ブロックされるたびにISPプールから新しいIPを取得しています。 ISPを完全にブロックしたいのですが、どうすればよいかわかりません。
いくつかのサンプルIPでwhoisを実行すると、それらすべてが同じ「netname」、「mnt-by」、および「Origin/AS」を共有していることがわかります。同じmnt-by/AS/netnameを使用して、ARIN/RIPEデータベースにすべてのサブネットを照会する方法はありますか?そうでない場合、他にどのようにすればこのISPに属するすべてのIPを取得できますか?
ありがとう。
whois [IP address](またはwhois -a [IP Address])は通常、問題の企業/プロバイダーに属するCIDRマスクまたはアドレス範囲を提供しますが、結果の解析は読者のための練習問題として残されています(少なくとも2つの一般的なwhois出力形式があります)。
このような大規模なブロックは、正当なユーザーをノックアウトする可能性もあります。このアプローチをとる前に、問題のISP(通常はネットブロックまたはDNSドメインのwhois情報に記載されています。それ以外の場合はabuse @から始めるのがよいでしょう)の悪用デスクに連絡して、状況を確認できます。技術的ではなく外交的に解決される。
また、areIPによって1秒あたりのリクエストを制限するいくつかの事前に作成されたソリューションがあることに注意してください- mod-qos またはシステムのファイアウォール/トラフィックシェーピング機能。
自分で考え出した。ちょっと。
robtex.comは、特定のASのすべてのアナウンスされたIP範囲を次の場所にリストします。 http://www.robtex.com/as/as123.html#bgp
それでも、robtexがこの情報を取得する方法または場所がわかりません。他の誰かが介入してデータの出所を説明したい場合、それは素晴らしいことです。
Iptablesへのアクセス権があるので、とにかくシステムのrootアクセス権があると仮定します。この場合、サービスポート(HTTP、DNS、メール、SSHなど)をN回攻撃することでサービスを悪用しようとすると、IPをブロックするFail2Banをインストールすることをお勧めします。 X期間内。 (すべてのユーザーが決定しました。)
私はサーバーでそれを使用しており、非常に良い結果を得ています。特に、私のSSHに侵入したいという中国人のハッカーたちと。
詳細は私のホームページをご覧ください。 fail2banに関するブログ投稿があります。