Mam problem z pewną osobą, która w sposób agresywny nieustannie drapie moją witrynę; marnowanie przepustowości i zasobów procesora. Wdrożyłem już system, który ogłasza moje dzienniki dostępu do serwera WWW, dodaje każdy nowy adres IP do bazy danych, śledzi liczbę żądań wysłanych z tego adresu IP, a następnie, jeśli ten sam adres IP przekroczy określony próg żądań w ramach przez pewien czas jest blokowany przez iptables. To może wydawać się skomplikowane, ale o ile mi wiadomo, nie ma gotowego rozwiązania zaprojektowanego w celu ograniczenia określonego adresu IP do pewnej przepustowości / żądań.
Działa to dobrze w przypadku większości robotów, ale wyjątkowo uporczywa osoba otrzymuje nowe IP ze swojej puli ISP za każdym razem, gdy są blokowane. Chciałbym całkowicie zablokować ISP, ale nie wiem, jak się do tego zabrać.
Robiąc whois na kilku przykładowych adresach IP, widzę, że wszystkie mają tę samą „nazwę sieci”, „mnt-by” i „origin / AS”. Czy istnieje sposób, w jaki mogę wysłać zapytanie do bazy danych ARIN / RIPE dla wszystkich podsieci przy użyciu tej samej nazwy mnt-by / AS / netname? Jeśli nie, to jak inaczej mogę uzyskać dostęp do każdego adresu IP należącego do tego dostawcy?
Dzięki.
źródło
Odpowiedzi:
whois [IP address]
(lubwhois -a [IP Address]
) zwykle daje ci maskę CIDR lub zakres adresów, który należy do firmy / dostawcy, o którym mowa, ale analiza wyników jest pozostawiana jako ćwiczenie dla czytelnika (istnieją co najmniej 2 popularne formaty wyjściowe whois).Pamiętaj, że takie hurtowe blokowanie może również potencjalnie znokautować legalnych użytkowników. Przed zastosowaniem tego podejścia należy skontaktować się z działem
whois
ds. Nadużyć u danego usługodawcy internetowego (zwykle wymienionym w informacjach dotyczących jego netblocka lub domeny DNS, w przeciwnym razie nadużycie @ jest dobrym miejscem do rozpoczęcia), aby sprawdzić, czy sytuację można rozwiązać dyplomatycznie, a nie technicznie .Należy również pamiętać, że nie są pewne pre-made rozwiązań dopuszczalnych żądań na sekundę przez IP - Sprawdź mod-QoS lub capibilities kształtowania firewall / ruchu systemu.
źródło
Zrozumiałem to sam. Raczej.
robtex.com wyświetla wszystkie ogłoszone zakresy adresów IP dla danego systemu AS na stronie : http://www.robtex.com/as/as123.html#bgp
Nadal nie wiem, jak i skąd robtex pobiera te informacje. Jeśli ktoś chciałby wejść i wyjaśnić, skąd pochodzą dane, byłoby świetnie.
źródło
Ponieważ masz dostęp do iptables, zakładam, że i tak masz dostęp do systemu root. W takim przypadku sugerowałbym zainstalowanie Fail2Ban, który po prostu zablokuje adres IP (przez pewien czas decydujesz), jeśli spróbują nadużyć usługi (HTTP, DNS, Mail, SSH ..etc), uderzając w port usługi N razy w okresie X. (wszyscy użytkownicy zdecydowali.)
Używam tego na moim serwerze i uzyskuję bardzo dobre wyniki. szczególnie z tymi hakerów chinease, którzy chcą trafić do mojego SSH.
kliknij moją stronę główną, aby uzyskać więcej informacji. Mam post na blogu o fail2ban.
źródło
Możesz wypróbować to narzędzie . To nie jest szybkie, ale działa.
źródło