공격적인 방식으로 내 사이트를 계속 긁는 특정 개인에게 문제가 있습니다. 대역폭 및 CPU 리소스 낭비 웹 서버 액세스 로그를 확장하고 데이터베이스에 새 IP를 각각 추가하고 해당 IP의 요청 수를 추적 한 다음 동일한 IP가 특정 요청 임계 값을 초과하는 시스템을 이미 구현했습니다. 특정 기간 동안 iptables를 통해 차단됩니다. 정교하게 들릴지 모르지만 내가 아는 한 특정 IP를 특정 양의 대역폭 / 요청으로 제한하도록 설계된 사전 제작 된 솔루션은 없습니다.
이것은 대부분의 크롤러에게는 잘 작동하지만 매우 영구적 인 개인은 차단 될 때마다 ISP 풀에서 새 IP를 받고 있습니다. ISP를 완전히 차단하고 싶지만 어떻게해야할지 모르겠습니다.
몇 가지 샘플 IP에서 whois를 수행하면 모두 동일한 “netname”, “mnt-by”및 “origin / AS”를 공유한다는 것을 알 수 있습니다. 동일한 mnt-by / AS / netname을 사용하여 모든 서브넷에 대해 ARIN / RIPE 데이터베이스를 쿼리 할 수있는 방법이 있습니까? 그렇지 않은 경우이 ISP에 속하는 모든 IP를 가져 오려면 어떻게해야합니까?
감사.
답변
whois [IP address](또는 whois -a [IP Address])는 일반적으로 문제의 회사 / 제공자에게 속한 CIDR 마스크 또는 주소 범위를 제공하지만 결과를 파싱하는 것은 독자를위한 연습으로 남아 있습니다 (적어도 2 개의 공통 whois 출력 형식이 있습니다).
이러한 도매 차단은 합법적 인 사용자를 제압 할 수도 있습니다. 이 접근 방식을 취하기 전에 해당 ISP의 남용 데스크 (일반적으로 whois넷 블록 또는 DNS 도메인 에 대한 정보에 나와 있습니다. .
또한 IP로 초당 요청을 제한 하는 몇 가지 사전 작성된 솔루션이 있습니다. mod-qos 또는 시스템의 방화벽 / 트래픽 쉐이핑 기능을 확인하십시오.
답변
내 스스로 알아 냈어 일종의.
robtex.com은 특정 AS에 대해 발표 된 모든 IP 범위를 http://www.robtex.com/as/as123.html#bgp에 나열합니다
.
여전히 robtex가이 정보를 어떻게 또는 어디서 검색하는지 모릅니다. 다른 사람이 데이터를 가져 와서 어디에서 들어오는 지 설명하고 싶다면 좋을 것입니다.
답변
iptables에 액세스 할 수 있기 때문에 어쨌든 시스템에 루트 액세스 권한이 있다고 가정합니다. 이 경우 서비스 포트를 N 번 공격하여 서비스 (HTTP, DNS, Mail, SSH 등)를 악용하려는 경우 IP를 차단하는 Fail2Ban을 설치하는 것이 좋습니다. X 기간 내에. (모든 사용자가 결정했습니다.)
나는 그것을 내 서버에서 사용하고 있으며 매우 좋은 결과를 얻고 있습니다. 특히 내 SSH를 공격하려는 키 네이즈 해커의 경우.
자세한 내용은 내 홈페이지를 누르십시오. fail2ban에 관한 모든 블로그 게시물이 있습니다.