Messages récents61
Évolution de LaFibre.info, bugs et critiques / Accès très lent au site
« Dernier message par vivien le Hier à 21:11:40 »
L'attaque est toujours en cours, mais mes règles et le CPU arrivent à gérer.
Avez-vous des scripts ou outils à me conseiller pour analyser l'attaque :
En entrée, j'ai un fichier de plusieurs centaines de milliers de IPv4 différentes. Je sais qu'à plus de 99% ce sont des requêtes non légitimes.
En sortie, je souhaite des plages les plus grosses possibles contiguës du même AS avec le nombre de fois où une IP du fichier apparait dans cette plage.
Se limiter à des plages /24 est trop petite, je souhaite si possible avoir des plages /18 /17 /16 /15 /14 /13 /12 /11 /10, mais appartenant à un même AS, car j'analyse chaque AS pour savoir si c'est AS ou il pourrait y avoir du trafic légitime (il m'arrive de demander à l'IA l'activité d'un AS).
Aujourd'hui j'utilise le service en ligne: whois.cymru.com (merci kgersen)
pour voit le top 10: (c'est une ancienne attaque de 2023, c'est pour montrer un exemple d'utilisation)
Les problèmes que j'ai :
- Si le fichier a trop d'IP, cela ne passe pas. Ildéalement, il faudrait demander l'AS pour une seul IP par /24, cela permet de diviser par 100 le nombre de requetes pour lequel on cherche l'AS
- Cela ne me montre pas les plages d'un AS qui sont à l'origine de l'attaque, or certains AS ont vraiement beaucoup de plages et toutes ne sont pas forcément utilisées dans l'attaque.
- J'aimerais avoir de grosses plages IP qui appartienent à un même AS. Si l'AS n'a pas de trafic légitime dans ce cas là je peut la bloquer, mais il faut être sur de ne pas faire de surblocage.[/size]
Avez-vous des scripts ou outils à me conseiller pour analyser l'attaque :
En entrée, j'ai un fichier de plusieurs centaines de milliers de IPv4 différentes. Je sais qu'à plus de 99% ce sont des requêtes non légitimes.
En sortie, je souhaite des plages les plus grosses possibles contiguës du même AS avec le nombre de fois où une IP du fichier apparait dans cette plage.
Se limiter à des plages /24 est trop petite, je souhaite si possible avoir des plages /18 /17 /16 /15 /14 /13 /12 /11 /10, mais appartenant à un même AS, car j'analyse chaque AS pour savoir si c'est AS ou il pourrait y avoir du trafic légitime (il m'arrive de demander à l'IA l'activité d'un AS).
Aujourd'hui j'utilise le service en ligne: whois.cymru.com (merci kgersen)
Code: [Sélectionner]
curl https://lafibre.info/images/stats/202306_ddos_ipv4_appliicatif_15juin2023.txt | awk 'BEGIN{print "begin"}; {print}; END{print "end"}' | netcat whois.cymru.com 43 > 202306_ddos_ipv4_appliicatif_15juin2023_asn.txtpour voit le top 10: (c'est une ancienne attaque de 2023, c'est pour montrer un exemple d'utilisation)
Code: [Sélectionner]
tail +2 202306_ddos_ipv4_appliicatif_15juin2023_asn.txt | cut -d\| -f1,3 | sort -n | uniq -c | sort -nr | head -10nombre d'ip,n°asn, nomCode: [Sélectionner]
816 4134 | CHINANET-BACKBONE No.31,Jin-rong Street, CN
363 39603 | P4NET P4 UMTS operator in Poland, PL
230 54203 | NETPROTECT-SP, US
167 60729 | ZWIEBELFREUN, DE
121 53667 | PONYNET, US
104 206092 | SECFIREWALLAS, GB
102 14061 | DIGITALOCEAN-ASN, US
100 4766 | KIXS-AS-KR Korea Telecom, KR
90 62744 | QUINTEX, US
90 136787 | TEFINCOMSA-AS-AP TEFINCOM S.A., PALes problèmes que j'ai :
- Si le fichier a trop d'IP, cela ne passe pas. Ildéalement, il faudrait demander l'AS pour une seul IP par /24, cela permet de diviser par 100 le nombre de requetes pour lequel on cherche l'AS
- Cela ne me montre pas les plages d'un AS qui sont à l'origine de l'attaque, or certains AS ont vraiement beaucoup de plages et toutes ne sont pas forcément utilisées dans l'attaque.
- J'aimerais avoir de grosses plages IP qui appartienent à un même AS. Si l'AS n'a pas de trafic légitime dans ce cas là je peut la bloquer, mais il faut être sur de ne pas faire de surblocage.[/size]
ADSL / VDSL
Matériel informatique (réseaux domestiques)
TV et codecs