Le chiamate HTTP da centinaia di IP nella stessa subnet sono dannose?

Naviga le tue risposte
1

Sono stato colpito ogni giorno con chiamate 50-100M alla mia API e sto cercando di identificare le sottoreti che sono le fonti.

Ho trovato eseguendo una corrispondenza in redis (dove vengono registrate tutte le richieste degli ultimi 24 ore), corrispondente alla prima parte es. 40.140.* in redis Ho trovato centinaia di corrispondenze! Sono centinaia di ips che iniziano tutti con 40.140.*.*

Ho pensato che avrei potuto usare questo come segnale se un particolare gruppo di IP fosse malevolo, ma ho anche trovato circa 200 ips da quello che sembra la mia rete locale, cioè ips con il primo x.x corrispondente alla mia rete domestica.

Perché vedo tutti questi IP dalla stessa sottorete nei miei log? Compresi alcuni apparentemente dalla mia rete locale?

Modifica

Si sta cercando di capire se una particolare sottorete è una fonte di traffico malevolo in base al fatto che abbiamo molte chiamate dalla stessa sottorete. Ci sono decine di migliaia di indirizzi ip che fanno richieste.

    
posta Jonathan 27.05.2018 - 23:28
fonte

2 risposte

1

Un tipico ddos non funziona in questo modo. È in questo nome: negazione del servizio distribuito . Se provengono dalla stessa sottorete, possono essere chiamati difficilmente distribuiti.

Tuttavia, è il caso tipico a cui è possibile rispondere caso per caso. Ad esempio, se tu fossi un amministratore di sistema della SE e otterresti attività di voto in questo modello, il risultato sarebbe probabilmente un divieto di rete sulla sottorete.

Controlla i log. Cosa stanno facendo? Quindi puoi decidere.

    
risposta data 27.05.2018 - 23:44
fonte
1

Chi possiede 40.140.X.X

Il blocco è di proprietà di Windstream Communications LLC , proprietario dell'intervallo 40.128.0.1 - 40.143.255.254 sorgente .

È un DDoS

È improbabile che, a meno che la botnet non sia stata creata da un solo exploit router di attacco fornito da questo ISP, ci si aspetterebbe un mix di ISP.

Cause probabili

  • Un utente potrebbe scrivere un client API che sta raschiando grandi quantità di dati
  • Un utente potrebbe utilizzare un client scritto male, che ha bisogno di fare molte chiamate per ottenere una piccola quantità di informazioni.
  • Un utente malintenzionato potrebbe eseguire grandi quantità di query fittizie per nascondere quelle preziose nel rumore.
risposta data 28.05.2018 - 00:21
fonte

Leggi altre domande sui tag

Posso firmare nuovamente i certificati SMIME con la mia CA? Fuzzing: trova rapidamente il numero esatto di byte