¿Las llamadas HTTP de cientos de ips en la misma subred son maliciosas?

Navega tus respuestas
1

Me han golpeado todos los días con llamadas de 50 a 100 millones a mi API y estoy tratando de identificar las subredes que son las fuentes.

Encontré ejecutando una coincidencia en redis (donde se registran todas las solicitudes de las últimas 24 horas), coincidiendo con la primera parte, por ejemplo. 40.140.* en redis ¡Encontré cientos de coincidencias! Es decir, cientos de ips que comienzan con 40.140.*.*

Pensé que podría usar esto como una señal de si un grupo particular de ips era malicioso o no, pero también he encontrado unos 200 ips de lo que parece mi red local, es decir, ips con el primer x.x haciendo coincidir mi red doméstica.

¿Por qué veo todos estos ips de la misma subred en mis registros? ¿Incluyendo algunos aparentemente de mi propia red local?

EDIT

Esto está tratando de averiguar si una subred en particular es una fuente de tráfico malicioso debido al hecho de que tenemos muchas llamadas desde la misma subred. Hay decenas de miles de direcciones IP que realizan solicitudes.

    
pregunta Jonathan 27.05.2018 - 23:28
fuente

2 respuestas

1

Un ddos típico no funciona de esta manera. Es en este nombre: distribuido denegación de servicio. Si provienen de la misma subred, pueden llamarse difícilmente distribuidos.

Sin embargo, es el caso típico que puede responderse por caso. Por ejemplo, si usted fuera un administrador del SE y obtuviera actividades de votación en este patrón, el resultado probablemente sería una prohibición de la red en la subred.

Comprueba los registros. ¿Qué están haciendo? Así que puedes decidir.

    
respondido por el peterh 27.05.2018 - 23:44
fuente
1

Quién posee 40.140.X.X

El bloque es propiedad de Windstream Communications LLC , que posee el rango 40.128.0.1 - 40.143.255.254 source .

¿Es esto una DDoS?

Es poco probable, a menos que la botnet se haya creado a partir de una vulnerabilidad que solo ataque a los enrutadores proporcionados por este ISP, se esperaría una combinación de ISP.

Causas probables

  • Un usuario puede estar escribiendo un cliente API que está raspando grandes cantidades de datos
  • Un usuario puede estar utilizando un cliente mal escrito, que necesita hacer muchas llamadas para obtener una pequeña cantidad de información.
  • Un atacante puede estar haciendo grandes cantidades de consultas falsas para ocultar las valiosas en el ruido.
respondido por el jrtapsell 28.05.2018 - 00:21
fuente

Lea otras preguntas en las etiquetas

¿Una forma segura de almacenar detalles confidenciales de la API de los usuarios (local, almacenamiento o base de datos? Fuzzing: Encuentra rápidamente el número exacto de bytes