一般來說,網站只要對 Internet 公開,就得面對一堆機器人的騷擾,這些惡意程式成天在網路海巡,亂槍打鳥或依據蒐羅到的網站清單,一台一台掃瞄試探,找尋漏洞伺機下手。若網站沒有致命漏洞,這種無差別式窺探通常威脅不高,就像偷車賊經過,難免打量幾眼看看有無上鎖開防盜器,傷害有限但無法社絕。但,對方如果有目標性,是針對你的網站專心找漏洞,那就得提高警覺因應。

當發現可疑 IP,要如何判斷是哪一種情況呢?

發現一個好用的陌生 IP 查詢服務,AbuseIPDB https://www.abuseipdb.com/

它是一個幫助系統管理人員及網站管理人員識別陌生 IP 的免費服務,簡單來說,可以把 AbuseIPDB 想成是 IP 版的 Whoscall,蒐集全世界網管人員的主動回報,集眾人之力建立一個精確的壞 IP 資料庫。輸入 IP 馬上知道該 IP 被多少人舉報過,有沒有從事掃瞄、滲透、攻擊、釣魚、詐騙等惡意行為的前科。

查詢結果如上,最重要的指標是 Confidence of Abuse,從 0 到 100,依據回報頻率、時間配合演算法判定該 IP 屬惡意濫用來源的機率。就像 Whoscall 由號碼回報是車貨、投資推銷還是一接就掛?方便你決定如何處理。

我這次查了兩個,都是 100%,研判為經常出沒的海巡機器人,屬於無差別掃瞄不用太擔心(若真的不放心可以鎖 IP)。除了濫用指數,網頁也提供每一筆回報的詳細資料,可參考其他人觀察到的行為進一步分析。

除了在網頁敲 IP 查詢,AbuseIPDB 也有查詢及回報用的 API,方便整合應用。免費版有 1000 次/天的上限,網站管理員經認證後為 3000 次/天,付費版可到每天 5 萬次。一般調查分析,免費版就很夠用了,更多細節可參考官網 FAQ

就醬,資安工具箱再添好用設備一件。


Comments

# by 啊光

最近也在查誰來一直call 我的API,所以寫LOG客戶端IP,但是這些IP有的都是VPN過來的proxy IP,很難抓到是誰...

# by Jeffrey

to 啊光,就像對方準備了易付卡打騷擾電話,此時 Whoscall 就派不上用場了。

Post a comment