Sono stato colpito ogni giorno con chiamate 50-100M alla mia API e sto cercando di identificare le sottoreti che sono le fonti.
Ho trovato eseguendo una corrispondenza in redis (dove vengono registrate tutte le richieste degli ultimi 24 ore), corrispondente alla prima parte es. 40.140.*
in redis Ho trovato centinaia di corrispondenze! Sono centinaia di ips che iniziano tutti con 40.140.*.*
Ho pensato che avrei potuto usare questo come segnale se un particolare gruppo di IP fosse malevolo, ma ho anche trovato circa 200 ips da quello che sembra la mia rete locale, cioè ips con il primo x.x
corrispondente alla mia rete domestica.
Perché vedo tutti questi IP dalla stessa sottorete nei miei log? Compresi alcuni apparentemente dalla mia rete locale?
Modifica
Si sta cercando di capire se una particolare sottorete è una fonte di traffico malevolo in base al fatto che abbiamo molte chiamate dalla stessa sottorete. Ci sono decine di migliaia di indirizzi ip che fanno richieste.