Как я могу заблокировать географический DNS-хост?
В настоящее время я использую бесплатный VPN-сервис, и в последнее время я получаю много писем о злоупотреблениях от сеть Sony Playstation сообщает, что с IP-адресов моих серверов происходит грубая форсировка API их учетных записей пользователей.
Адрес электронной почты ниже:
Кого это может касаться,
Согласно Sony Interactive Entertainment LLC («SIE») В соответствии с корпоративной политикой указанные ниже IP-адреса были занесены в черный список из-за того, что компания SIE обнаружила действия, нарушающие наши сетевые службы. В нашей решимости оскорбительная деятельность не была связана со скоростью или объемом (много пользователей за одним и тем же IP-адресом, т. е. NAT), но соответствовала конкретным шаблонам известного злоупотребления нашими общедоступными услугами. Это нарушение может быть результатом того, что компьютер в вашей сети был взломан и участвует в злоупотреблении ботнетом наших служб.
Следующая таблица IP-адресов, дат и времени должна помочь вам определить происхождение злоупотреблений . Отметки времени являются приблизительными из наших журналов. Фактическое время событий зависит от сопоставленной подписи. Очень вероятно, что это произошло как до, во время, так и после указанного времени.
Приблизительный временной диапазон (UTC), IP-адрес, причина но соответствовали конкретным схемам известного злоупотребления нашими общедоступными услугами. Это нарушение может быть результатом того, что компьютер в вашей сети был взломан и участвует в злоупотреблении ботнетом наших служб.
Следующая таблица IP-адресов, дат и времени должна помочь вам определить происхождение злоупотреблений . Отметки времени являются приблизительными из наших журналов. Фактическое время событий зависит от сопоставленной подписи. Очень вероятно, что это произошло как до, во время, так и после указанного времени.
Приблизительный временной диапазон (UTC), IP-адрес, причина но соответствовали конкретным схемам известного злоупотребления нашими общедоступными услугами. Это нарушение может быть результатом того, что компьютер в вашей сети был взломан и участвует в злоупотреблении ботнетом наших служб.
Следующая таблица IP-адресов, дат и времени должна помочь вам определить источник злоупотреблений . Отметки времени являются приблизительными из наших журналов. Фактическое время событий зависит от сопоставленной подписи. Очень вероятно, что это произошло как до, во время, так и после указанного времени.
Приблизительный временной диапазон (UTC), IP-адрес, причина Дата и время должны помочь вам определить происхождение оскорбительных действий. Отметки времени являются приблизительными из наших журналов. Фактическое время событий зависит от сопоставленной подписи. Очень вероятно, что это произошло как до, во время, так и после указанного времени.
Приблизительный временной диапазон (UTC), IP-адрес, причина Дата и время должны помочь вам определить происхождение оскорбительных действий. Отметки времени являются приблизительными из наших журналов. Фактическое время событий зависит от сопоставленной подписи. Очень вероятно, что это произошло как до, во время, так и после указанного времени.
Приблизительный временной диапазон (UTC), IP-адрес, причина 2017-04-17 08:22 ~ 2017-04-17 08:52 (UTC),, Попытки захвата учетной записи
Скорее всего, трафик атаки направлен на одну из следующих конечных точек:
account.sonyentertainmentnetwork .com auth.np.ac.playstation.net auth.api.sonyentertainmentnetwork.com auth.api.np.ac.playstation.net
Эти конечные точки в нашей сети разрешаются Geo DNS, поэтому IP-адреса, которые они разрешают, будут зависеть от исходного IP-адреса.
Порт назначения будет TCP 443 .
Пожалуйста, примите необходимые меры для исправления злонамеренной активности с вышеперечисленных IP-адресов как можно скорее, чтобы избежать дальнейших сбоев. Если мы удалим какой-либо из этих IP-адресов из черного списка и последующая злонамеренная активность будет обнаружена, IP-адрес будет снова немедленно занесен в черный список.
Благодарим вас за то, что вы сразу обратились к этому вопросу. Если вам нужна помощь или дополнительная информация, обращайтесь по адресу snei-noc-abuse@am.sony.comи включить рассматриваемый IP-адрес.
Обычно я мог бы просто разрешить их DNS и заблокировать их IP-адреса в iptables, чтобы нарушающие пользователи не могли даже подключиться к их API, однако они упомянули, что используют GEO DNS, что делает практически невозможным точно определить все их IP-адреса, так как вам придется разрешить их DNS со всего мира, чтобы получить их (даже тогда это всего лишь предположение, если они у вас есть все).
Есть ли у меня какие-либо другие варианты, чтобы заблокировать указанные выше имена хостов у которых есть GEO DNS?
Предоставление бесплатного VPN-сервиса, вероятно, без проверки пользователей, как правило, вызывает такого рода проблемы. Общая картина такова, что Sony Interactive Entertainment LLC, возможно, не единственная жертва, но они любезно информируют вас о проблеме. Если вы просто хотите решить проблему за них, они уже приняли достаточно мер, заблокировав ваш IP.
Если вас волнует репутация вашего сервиса и ваш IP / IP блок, вы должны попытаться предотвратить злоупотребления в более широком масштабе. Так как ваш сервер не скомпрометирован, вы можете использовать себя для мониторинга трафика. Существует несколько инструментов с открытым исходным кодом для обнаружения вторжений , например Snort, Suricata и Bro-IDS. Другим вариантом является наличие некоего унифицированного устройства управления угрозами UTM между вашим сервером и Интернетом, автоматически блокирующего вредоносные соединения. В любом случае, эти инструменты предназначены не только для защиты от дикого Интернета, но и для защиты Интернета от вредоносных действий, которые происходят через вашу службу.
.Брандмауэрная обработка географически распределенного сервиса, скорее всего, будет невозможной задачей, как уже упоминала компания Sony - они используют географически распределенную DNS (как и большинство крупных организаций с глобальной инфраструктурой) для направления клиентов на ближайшую к ним конечную точку.
Моя рекомендация - выяснить, какие клиенты направляют трафик на эти конечные точки, и заблокировать их. Бесплатно или нет, злоупотребление не должно допускаться ни при каких сервисах
.