vlad11 Posted August 28, 2015 · Report post Хочется иметь: модуль чтения логов вебсерверов модуль чтения syslog модуль чтения почтовых логов модуль соединения с netflow коллектором модуль общения с разными whois для корректного определения IP, AS, Country и abuse контактов. простую тикет систему со статусами отправленных abuse, с возможностью дальнейшей переписки с abuse-контактами учетные записи с распределением ролей-доступов шаблоны писем по каждому типу abuse возможность использования PGP подписей Спасибо. Share this post Link to post Share on other sites
ttttt Posted August 28, 2015 · Report post Нет таких в природе. Share this post Link to post Share on other sites
ttttt Posted August 28, 2015 · Report post Ну т.е. нету, потому что большая часть желаемого функционала - из другой оперы. Смотрите в сторону информ безопасности, аудит логов и т.д. Share this post Link to post Share on other sites
ThreeDHead Posted August 28, 2015 · Report post ttttt, да не, хочется тупо в черный ящик скормить туеву хучу айпишников DDOS'еров. А сам черный ящик найдет абуз-контакты, разошлет по ним емейлы, может составит отчеты какие. Share this post Link to post Share on other sites
ttttt Posted August 28, 2015 · Report post ttttt, да не, хочется тупо в черный ящик скормить туеву хучу айпишников DDOS'еров. А сам черный ящик найдет абуз-контакты, разошлет по ним емейлы, может составит отчеты какие. Я ж о чем и говорю, таких нету, бизнес смысла в таких системах 0. Есть подобный функционал по сбору и обработке логов в массе софта из области безопасности, но нету, естественно, никакой работы с abuse контактами. Share this post Link to post Share on other sites
vlad11 Posted August 28, 2015 · Report post ttttt, да не, хочется тупо в черный ящик скормить туеву хучу айпишников DDOS'еров. А сам черный ящик найдет абуз-контакты, разошлет по ним емейлы, может составит отчеты какие. Не забывайте прикладывать хотя бы пару строчек из tcpdump, многие запрашивают эти данные. Share this post Link to post Share on other sites
ThreeDHead Posted August 29, 2015 · Report post Может есть какие SAAS-системы с подобным функционалом? Share this post Link to post Share on other sites
ttttt Posted August 29, 2015 · Report post Какую проблему вы хотите этим всем решить? От ддоса это не защитит и никак не поможет, в чем тогда смысл? Поймете проблему, поймете и почему таких систем не бывает. Share this post Link to post Share on other sites
pavel.odintsov Posted August 29, 2015 · Report post У RIPE были наработки по поиску владельцев сетей. Вот попробуйте мой код: https://gist.github.com/pavel-odintsov/fac1c8160fd10ceb74e4 Share this post Link to post Share on other sites
pavel.odintsov Posted August 29, 2015 (edited) · Report post Вот еще: https://abusix.com/contactdb.html Есть даже байндинг на Питон: https://pypi.python.org/pypi/querycontacts/ vlad11, ThreeDHead. Идея годная, люто одобряю. Могу попробовать поддержать кодом :) Но лишь консольным Edited August 29, 2015 by pavel.odintsov Share this post Link to post Share on other sites
ttttt Posted August 29, 2015 · Report post vlad11, ThreeDHead. Идея годная, люто одобряю. Чем годная? Это секрет такой? Или просто нечем заняться, хочется провайдеров позадалбывать? Share this post Link to post Share on other sites
vlad11 Posted August 29, 2015 · Report post vlad11, ThreeDHead. Идея годная, люто одобряю. Чем годная? Это секрет такой? Или просто нечем заняться, хочется провайдеров позадалбывать? Не могли бы вы обозначить свою принадлежность к провайдеру или AS? Вот еще: https://abusix.com/contactdb.html Есть даже байндинг на Питон: https://pypi.python.org/pypi/querycontacts/ vlad11, ThreeDHead. Идея годная, люто одобряю. Могу попробовать поддержать кодом :) Но лишь консольным Спасибо. Я скриптом выдирал из whois RIPE. Попробую еще ваш метод. По https у RIPE лимит 1k коннектов в сутки или больше? По https очень медленно отвечает. Share this post Link to post Share on other sites
SyJet Posted August 29, 2015 · Report post Павел, идея очень годная, и к вашему софту как плагин Share this post Link to post Share on other sites
pavel.odintsov Posted August 29, 2015 · Report post SyJet, ага, я как прочел тему так и подумал о флажке "уведомить владельца AS о хакерах и отправить дамп атаки автоматически". Правда, первое время явно не стоит использовать это в режиме автоматики (чтобы не заспамить белых и чистых юзеров), а скорее запускать, когда есть уверенность, что атака-таки точно имеет место быть. vlad11, вот вроде про лимиты - https://labs.ripe.net/ripe-database/database-api/api-documentation я так ***зил около 1к машинок, не банили :) Share this post Link to post Share on other sites
ttttt Posted August 29, 2015 · Report post Не могли бы вы обозначить свою принадлежность к провайдеру или AS? Принадлежность у меня к топику. Но я уже понял, нужна штуковина - потому что хочется. Никто не подумал зачем. Все как обычно на этом форуме, всегда тема начинается с хотелок. Можно не продолжать обсуждать. Share this post Link to post Share on other sites
vlad11 Posted August 29, 2015 · Report post Но я уже понял, нужна штуковина - потому что хочется. Никто не подумал зачем. Все как обычно на этом форуме, всегда тема начинается с хотелок. Можно не продолжать обсуждать. Ваше мнение очень ценное для нас (с) vlad11, вот вроде про лимиты - https://labs.ripe.net/ripe-database/database-api/api-documentation я так ***зил около 1к машинок, не банили :) А меня банили, пришлось кешировать запросы и использовать сторонние сервисы. P.S. В сутки примерно делаю овер 20к запросов. От ддоса это не защитит и никак не поможет, в чем тогда смысл? Руки перед едой надо мыть. Начинать делать мир идеальным надо с себя и своей сети. По моим специфическим абьюзам, примерно 50% респондентов закрывали дырки и 50% от этого числа говорили спасибо. Если у админа просыпается синдром вахтера, тогда в ход вступают другие методы. Share this post Link to post Share on other sites
ttttt Posted August 29, 2015 · Report post Руки перед едой надо мыть. Начинать делать мир идеальным надо с себя и своей сети. По моим специфическим абьюзам, примерно 50% респондентов закрывали дырки и 50% от этого числа говорили спасибо. Если у админа просыпается синдром вахтера, тогда в ход вступают другие методы. Это круто, когда можно делать что взбредет в голову. Ну только к зарабатыванию денег отношения не имеет, увы. Share this post Link to post Share on other sites
vlad11 Posted August 30, 2015 · Report post Это круто, когда можно делать что взбредет в голову. Ну только к зарабатыванию денег отношения не имеет, увы. Почитайте-ка про термин "технический долг", он тоже, напрямую к зарабатыванию денег не относится. Но тем не менее, в зависимости от его величины, фирмы закрываются. И если схема сети построена грязно, многие программные вещи заткнуты костылями, "лишь бы работало", на абьюзы и контроль сети забит болт, "мол мне это хозяин не оплачивает". В итоге получаются, петли, штормы, даунтаймы, неудачные обновления без возможности отката назад, ДДоСы. И либо админ тратит лишние часы на обслуживание, либо он по-прежнему забивает болт, в итоге, от степени даунтаймов, фирма потихоньку теряет репутацию, клиентов. Share this post Link to post Share on other sites
ttttt Posted August 30, 2015 · Report post Технический долг - это bullshit термин из разработки софта, придуманный имбицилами, которые особенно софта того и не писали и наивно думают, что можно сразу делать "нормально". Но к рассыланию спама по abuse контактам отношения не имеет. Share this post Link to post Share on other sites
pavel.odintsov Posted August 30, 2015 · Report post Технический долг - это проблема в проекте, которая тянет его назад и усложняет поддержку/разработку. В данном случае отсутствие такой системы и решение задачи "как придется" вполне подходит под определение этого плохо спроектированного-разработанного процесса. Share this post Link to post Share on other sites
ttttt Posted August 30, 2015 · Report post Задача не существует для решения какой-либо проблемы и потому создание системы не имеет под собой никаких оснований, кроме как - чешутся руки. Share this post Link to post Share on other sites
pavel.odintsov Posted August 30, 2015 · Report post Все, что не приносит бабла - для вас не существующая задача? ООООК Share this post Link to post Share on other sites
pavel.odintsov Posted August 30, 2015 · Report post Ну а вообще, от лица оператора хостящего 1/4 миллиона доменов могу сказать, что 99 из 100 жалоб на наших пользователей тщательно расследуются с гарантированной ликвидацией причины жалобы. Share this post Link to post Share on other sites
ttttt Posted August 30, 2015 · Report post Все, что не приносит бабла - для вас не существующая задача? ООООК Софт создается для решения проблем. Внезапно, да? Share this post Link to post Share on other sites