特定のISPに属するすべてのIP範囲を見つける

サイトを積極的にこすり続けている特定の個人に問題があります。帯域幅とCPUリソースを浪費しています。私はすでにWebサーバーのアクセスログを調整し、新しいIPをデータベースに追加し、そのIPからのリクエスト数を追跡​​し、同じIPが特定のリクエストのしきい値を超えた場合にシステムを実装しました。一定期間は、iptablesによってブロックされます。複雑に聞こえるかもしれませんが、私が知る限り、特定のIPを特定の帯域幅/要求の量に制限するように設計された既成のソリューションはありません。

これはほとんどのクローラーで正常に機能しますが、非常に永続的な個人は、ブロックされるたびにISPプールから新しいIPを取得しています。ISPを完全にブロックしたいのですが、どうすればいいのかわかりません。

いくつかのサンプルIPでwhoisを実行すると、すべてが同じ「netname」、「mnt-by」、および「origin / AS」を共有していることがわかります。同じmnt-by / AS / netnameを使用して、ARIN / RIPEデータベースにすべてのサブネットを照会する方法はありますか？そうでない場合、他にどのようにすればこのISPに属するすべてのIPを取得できますか？

ありがとう。

whois [IP address]（またはwhois -a [IP Address]）は通常、問題の会社/プロバイダーに属するCIDRマスクまたはアドレス範囲を提供しますが、結果の解析は読者の練習問題として残します（少なくとも2つの一般的なwhois出力形式があります）。

このような大規模なブロックは、正当なユーザーをノックアウトする可能性があることに注意してください。このアプローチをとる前に、問題のISPの不正行為デスク（通常はwhoisネットブロックまたはDNSドメインの情報に記載されています。それ以外の場合はabuse @から始めるのがよいでしょう）に連絡して、技術的ではなく外交的に状況を解決できるかどうかを確認してください。 。

また、IPによって1秒あたりのリクエストを制限するためのいくつかの事前に作成されたソリューションがあることに注意してください-mod -qosまたはシステムのファイアウォール/トラフィックシェーピング機能を確認してください。

自分で考え出した。ちょっと。

robtex.comは、http：//www.robtex.com/as/as123.html#bgpで、特定のASのすべてのアナウンスされたIP範囲をリストします 。

それでも、robtexがこの情報を取得する方法または場所がわかりません。他の誰かが介入してデータの出所を説明したい場合、それは素晴らしいことです。

iptablesへのアクセス権があるので、とにかくシステムにrootアクセス権があると仮定します。この場合、サービスポート（HTTP、DNS、メール、SSHなど）をN回攻撃することでサービスを悪用しようとすると、IPをブロックするFail2Banをインストールすることをお勧めします。 X期間内。（すべてのユーザーが決定しました。）

私はサーバーでそれを使用しており、非常に良い結果を得ています。特に、私のSSHに侵入したい中国のハッカーたちと。

詳細は私のホームページをご覧ください。fail2banに関するブログ投稿があります。

このツールを試すことができます。速くはありませんが、動作しています。