vlad11 Posted August 28, 2015 Хочется иметь: модуль чтения логов вебсерверов модуль чтения syslog модуль чтения почтовых логов модуль соединения с netflow коллектором модуль общения с разными whois для корректного определения IP, AS, Country и abuse контактов. простую тикет систему со статусами отправленных abuse, с возможностью дальнейшей переписки с abuse-контактами учетные записи с распределением ролей-доступов шаблоны писем по каждому типу abuse возможность использования PGP подписей Спасибо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ttttt Posted August 28, 2015 Нет таких в природе. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ttttt Posted August 28, 2015 Ну т.е. нету, потому что большая часть желаемого функционала - из другой оперы. Смотрите в сторону информ безопасности, аудит логов и т.д. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ThreeDHead Posted August 28, 2015 ttttt, да не, хочется тупо в черный ящик скормить туеву хучу айпишников DDOS'еров. А сам черный ящик найдет абуз-контакты, разошлет по ним емейлы, может составит отчеты какие. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ttttt Posted August 28, 2015 ttttt, да не, хочется тупо в черный ящик скормить туеву хучу айпишников DDOS'еров. А сам черный ящик найдет абуз-контакты, разошлет по ним емейлы, может составит отчеты какие. Я ж о чем и говорю, таких нету, бизнес смысла в таких системах 0. Есть подобный функционал по сбору и обработке логов в массе софта из области безопасности, но нету, естественно, никакой работы с abuse контактами. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vlad11 Posted August 28, 2015 ttttt, да не, хочется тупо в черный ящик скормить туеву хучу айпишников DDOS'еров. А сам черный ящик найдет абуз-контакты, разошлет по ним емейлы, может составит отчеты какие. Не забывайте прикладывать хотя бы пару строчек из tcpdump, многие запрашивают эти данные. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ThreeDHead Posted August 29, 2015 Может есть какие SAAS-системы с подобным функционалом? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kamae1ka Posted August 29, 2015 ТЫЦ Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ttttt Posted August 29, 2015 Какую проблему вы хотите этим всем решить? От ддоса это не защитит и никак не поможет, в чем тогда смысл? Поймете проблему, поймете и почему таких систем не бывает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pavel.odintsov Posted August 29, 2015 У RIPE были наработки по поиску владельцев сетей. Вот попробуйте мой код: https://gist.github.com/pavel-odintsov/fac1c8160fd10ceb74e4 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pavel.odintsov Posted August 29, 2015 (edited) Вот еще: https://abusix.com/contactdb.html Есть даже байндинг на Питон: https://pypi.python.org/pypi/querycontacts/ vlad11, ThreeDHead. Идея годная, люто одобряю. Могу попробовать поддержать кодом :) Но лишь консольным Edited August 29, 2015 by pavel.odintsov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ttttt Posted August 29, 2015 vlad11, ThreeDHead. Идея годная, люто одобряю. Чем годная? Это секрет такой? Или просто нечем заняться, хочется провайдеров позадалбывать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vlad11 Posted August 29, 2015 vlad11, ThreeDHead. Идея годная, люто одобряю. Чем годная? Это секрет такой? Или просто нечем заняться, хочется провайдеров позадалбывать? Не могли бы вы обозначить свою принадлежность к провайдеру или AS? Вот еще: https://abusix.com/contactdb.html Есть даже байндинг на Питон: https://pypi.python.org/pypi/querycontacts/ vlad11, ThreeDHead. Идея годная, люто одобряю. Могу попробовать поддержать кодом :) Но лишь консольным Спасибо. Я скриптом выдирал из whois RIPE. Попробую еще ваш метод. По https у RIPE лимит 1k коннектов в сутки или больше? По https очень медленно отвечает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SyJet Posted August 29, 2015 Павел, идея очень годная, и к вашему софту как плагин Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pavel.odintsov Posted August 29, 2015 SyJet, ага, я как прочел тему так и подумал о флажке "уведомить владельца AS о хакерах и отправить дамп атаки автоматически". Правда, первое время явно не стоит использовать это в режиме автоматики (чтобы не заспамить белых и чистых юзеров), а скорее запускать, когда есть уверенность, что атака-таки точно имеет место быть. vlad11, вот вроде про лимиты - https://labs.ripe.net/ripe-database/database-api/api-documentation я так ***зил около 1к машинок, не банили :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ttttt Posted August 29, 2015 Не могли бы вы обозначить свою принадлежность к провайдеру или AS? Принадлежность у меня к топику. Но я уже понял, нужна штуковина - потому что хочется. Никто не подумал зачем. Все как обычно на этом форуме, всегда тема начинается с хотелок. Можно не продолжать обсуждать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vlad11 Posted August 29, 2015 Но я уже понял, нужна штуковина - потому что хочется. Никто не подумал зачем. Все как обычно на этом форуме, всегда тема начинается с хотелок. Можно не продолжать обсуждать. Ваше мнение очень ценное для нас (с) vlad11, вот вроде про лимиты - https://labs.ripe.net/ripe-database/database-api/api-documentation я так ***зил около 1к машинок, не банили :) А меня банили, пришлось кешировать запросы и использовать сторонние сервисы. P.S. В сутки примерно делаю овер 20к запросов. От ддоса это не защитит и никак не поможет, в чем тогда смысл? Руки перед едой надо мыть. Начинать делать мир идеальным надо с себя и своей сети. По моим специфическим абьюзам, примерно 50% респондентов закрывали дырки и 50% от этого числа говорили спасибо. Если у админа просыпается синдром вахтера, тогда в ход вступают другие методы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ttttt Posted August 29, 2015 Руки перед едой надо мыть. Начинать делать мир идеальным надо с себя и своей сети. По моим специфическим абьюзам, примерно 50% респондентов закрывали дырки и 50% от этого числа говорили спасибо. Если у админа просыпается синдром вахтера, тогда в ход вступают другие методы. Это круто, когда можно делать что взбредет в голову. Ну только к зарабатыванию денег отношения не имеет, увы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vlad11 Posted August 30, 2015 Это круто, когда можно делать что взбредет в голову. Ну только к зарабатыванию денег отношения не имеет, увы. Почитайте-ка про термин "технический долг", он тоже, напрямую к зарабатыванию денег не относится. Но тем не менее, в зависимости от его величины, фирмы закрываются. И если схема сети построена грязно, многие программные вещи заткнуты костылями, "лишь бы работало", на абьюзы и контроль сети забит болт, "мол мне это хозяин не оплачивает". В итоге получаются, петли, штормы, даунтаймы, неудачные обновления без возможности отката назад, ДДоСы. И либо админ тратит лишние часы на обслуживание, либо он по-прежнему забивает болт, в итоге, от степени даунтаймов, фирма потихоньку теряет репутацию, клиентов. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ttttt Posted August 30, 2015 Технический долг - это bullshit термин из разработки софта, придуманный имбицилами, которые особенно софта того и не писали и наивно думают, что можно сразу делать "нормально". Но к рассыланию спама по abuse контактам отношения не имеет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pavel.odintsov Posted August 30, 2015 Технический долг - это проблема в проекте, которая тянет его назад и усложняет поддержку/разработку. В данном случае отсутствие такой системы и решение задачи "как придется" вполне подходит под определение этого плохо спроектированного-разработанного процесса. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ttttt Posted August 30, 2015 Задача не существует для решения какой-либо проблемы и потому создание системы не имеет под собой никаких оснований, кроме как - чешутся руки. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pavel.odintsov Posted August 30, 2015 Все, что не приносит бабла - для вас не существующая задача? ООООК Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pavel.odintsov Posted August 30, 2015 Ну а вообще, от лица оператора хостящего 1/4 миллиона доменов могу сказать, что 99 из 100 жалоб на наших пользователей тщательно расследуются с гарантированной ликвидацией причины жалобы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ttttt Posted August 30, 2015 Все, что не приносит бабла - для вас не существующая задача? ООООК Софт создается для решения проблем. Внезапно, да? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
