R_Voland 7 мая 2018 в 18:56

Кто сканирует Интернет. Продолжение следует

4 мин

13K

Информационная безопасность*

+12

Комментарии 17

Zempik 7 мая 2018 в 23:05

Карту не использую, но в telegram ip ботов с пустого сайта записываю. Вот только проблемка, почему-то разные сервисы показывают разное местоположение, причем существенно. Вопрос в том, как наиболее точно определить место?

KaneUA 8 мая 2018 в 00:25

У IP адреса есть провайдер. И обычно провайдер даёт возможность определить местоположение с точностью до страны. Или такой метод не подходит?

R_Voland 8 мая 2018 в 07:28

Сервисов, кто предоставляет геолокацию по IP много. Если есть желание посравнивайте. Вообще не видел чтобы кто-то жаловался на значительное расхождение. Может не определяться адрес, но по геопривязке обычно норма.

torbasow 8 мая 2018 в 09:46

Ну вот я пожалуюсь: меня геолокация всегда помещает в Торжок вместо Твери, это 50 км.

remzalp 8 мая 2018 в 09:58

Абонент Ростелекома? :) У него блок адресов для Урала, к примеру закреплен в Перми :)

torbasow 8 мая 2018 в 20:46

Не совсем. Точнее, совсем нет. Местный провайдер. С работы — там провайдер другой — меня геолоцируют правильно.

delvin-fil 10 мая 2018 в 12:34

О, Торжок и Тверь, это еще что.
Из Кемерово показывает Самару.

kruslan 7 мая 2018 в 23:55

Но каков масштаб!

Да не большой, если честно.

R_Voland 8 мая 2018 в 07:25

Для того, чтобы покрасоваться достаточно большой. Хозяин вряд ли хотел засветить всею армию.

barbos6 8 мая 2018 в 11:08

Надо всегда помнить, что сервер серверу lupus est.
Если при анализе логов просто отправлять блоки ip адресов, выданные хостерам,
в blackhole (или в ipset при наличии нужного правила в iptables),
то проблема сканирования/ботнетов постепенно станет не такой актуальной.
Навеяно действиями РКН, если что… :)

apapacy 8 мая 2018 в 20:54

А если адрес подделан? Проблема борьбы с ботами подобные тем которые автор описал в прошлой и этой статье это 5 строк в конфиге nginx:

server {
    listen 80 default_server;
    listen 443 default_server;
    deny  all;
}

Т.к. эти боты сканируют сеть по адресам, если это не кокретный чей-то заказ.

R_Voland 9 мая 2018 в 08:07

IP спуффинг теоретически еще возможен. Но здесь TCP а не UDP, а при TCP реализовать спуфинг можно если нумерация пакетов линейная и если провайдер выпускает из своей сети пакеты с адресом источника не из его сети. Спасибо что подсказали — поставлю на контроль пакеты.

R_Voland 9 мая 2018 в 11:46

Вот поймал одного:

Насколько я понимаю спуффинга нет, поскольку удаленный хост получает мой сиквенс и присылает увеличенный на 1. если бы был спуффинг удаленный хост не получал бы мой сиквенс, ведь адрес источника подделан, и сиквенс улетит на поддельный адрес. Это мое мнение. Возможно существуют какие-то варианты.

apapacy 9 мая 2018 в 13:40

Да похоже с tcp это сделать невозможно в общем случае

R_Voland 9 мая 2018 в 14:10

Вот какой вопрос: Есть ли 100% признак проксирования трафика? Когда можно точно сказать что вот этот идет прошел через один или цепочку проксей?

apapacy 9 мая 2018 в 14:54

Не являюсь специалистом по протоколу tcp. Но могу сказать точно другое. Всевозможные чёрные списки это идея не всегда приводит к ожидаемому результату. Например когда мы юзали защиту от одного поставщика в чёрные списки попадал в первую очередь наш офис во вторую офис владельца сайта. Т.к. могли несколько человек открыть сайт и срабатывал триггер по количеству запросов. То есть у атакующего появляется новый способ атаковать. Это зайти через например сеть мобильного оператора или в метро, запустить скрипт где в цикле обратиться к сайту за секунду 10000 раз и все. Сайт работает. Никто ни о чем не подозревает. Только реально мы лишили доступа большое количество клиентов.

R_Voland 9 мая 2018 в 16:52

А я планирую собирать блок-списки не/(не только) по количеству обращений а по признаку сканирования или перебора паролей. Если разместить достаточное количество сенсоров в Сети то за какое-то время T можно вычислить всех ботов и прокси. Ведь количество их все равно ограничено. Тогда забанив бота я заблокирую с него любой трафик DoS,SYN,HTTP Flood… Да все равно какой. Забанив прокси я рискую отсечь часть правильных клиентов от ресурса. Вообще есть большое желание сделать железку, которую можно воткнуть в разрез и управлять ею централизованно, рассылая списки доступа. Смотрю в сторону NPA-1,2,3. То есть система такая — сенсоры собирают статистику в центральную базу, анализатор вычисляет ботов и посылает списки на девайсы. Те на лету ACL применяют. И хочу еще до 5 уровня пакеты разбирать чтобы по URL фильтровать чтобы допустим не давать приходить обновлениям с Мелкомягких пока не проверено. Ну, чтобы админов избавить от головняка.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий