Il n'est pas possible de remplacer ces "pages" par de fausses pages ?

Si, ça reste une des solutions que j'ai recommandé : fournir une page en cache.
Surtout que c'est un "invité" qui la demande, donc c'est pertinent et facile.

Et avec un effet pervers : plus vite une page est livrée au client, plus vite un bot va enclencher sa prochaine requête
Il va donc monter beaucoup plus haut dans les req/sec et donc se faire repérer/bloquer plus vite

L'attaque est toujours en cours, mais mes règles et le CPU arrivent à gérer.

Avez-vous des scripts ou outils à me conseiller pour analyser l'attaque :

En entrée, j'ai un fichier de plusieurs centaines de milliers de IPv4 différentes. Je sais qu'à plus de 99% ce sont des requêtes non légitimes.

En sortie, je souhaite des plages les plus grosses possibles contiguës du même AS avec le nombre de fois où une IP du fichier apparait dans cette plage.

Se limiter à des plages /24 est trop petite, je souhaite si possible avoir des plages /18 /17 /16 /15 /14 /13 /12 /11 /10, mais appartenant à un même AS, car j'analyse chaque AS pour savoir si c'est AS ou il pourrait y avoir du trafic légitime (il m'arrive de demander à l'IA l'activité d'un AS).


Aujourd'hui j'utilise le service en ligne: whois.cymru.com (merci kgersen)

curl https://lafibre.info/images/stats/202306_ddos_ipv4_appliicatif_15juin2023.txt | awk 'BEGIN{print "begin"}; {print}; END{print "end"}' | netcat whois.cymru.com 43 > 202306_ddos_ipv4_appliicatif_15juin2023_asn.txt
pour voit le top 10: (c'est une ancienne attaque de 2023, c'est pour montrer un exemple d'utilisation)

tail +2 202306_ddos_ipv4_appliicatif_15juin2023_asn.txt  | cut -d\| -f1,3 | sort -n | uniq -c | sort -nr | head -10nombre d'ip,n°asn, nom
    816 4134    | CHINANET-BACKBONE No.31,Jin-rong Street, CN
    363 39603   | P4NET P4 UMTS operator in Poland, PL
    230 54203   | NETPROTECT-SP, US
    167 60729   | ZWIEBELFREUN, DE
    121 53667   | PONYNET, US
    104 206092  | SECFIREWALLAS, GB
    102 14061   | DIGITALOCEAN-ASN, US
    100 4766    | KIXS-AS-KR Korea Telecom, KR
     90 62744   | QUINTEX, US
     90 136787  | TEFINCOMSA-AS-AP TEFINCOM S.A., PA
Les problèmes que j'ai :
- Si le fichier a trop d'IP, cela ne passe pas. Ildéalement, il faudrait demander l'AS pour une seul IP par /24, cela permet de diviser par 100 le nombre de requetes pour lequel on cherche l'AS
- Cela ne me montre pas les plages d'un AS qui sont à l'origine de l'attaque, or certains AS ont vraiement beaucoup de plages et toutes ne sont pas forcément utilisées dans l'attaque.
- J'aimerais avoir de grosses plages IP qui appartienent à un même AS. Si l'AS n'a pas de trafic légitime dans ce cas là je peut la bloquer, mais il faut être sur de ne pas faire de surblocage.[/size]