Репутационные списки с сервиса аналитики
Командой MITIGATOR формируются регулярно обновляемые репутационные списки
IP-адресов, автономных систем и JA3-отпечатков (далее “фиды”).
Фиды могут импортироваться в MITIGATOR в виде именованных списков и применяться
в контрмерах и правилах маршрутизации.
Для этого в качестве типа источника именованного списка следует указать
Mitigator feeds и выбрать необходимый фид.
Фиды недоступны для скачивания или просмотра содержимого, даже через Web-интерфейс MITIGATOR.
Доступ к фидам предоставляется по токену и дополнительно лицензируется. Для работы с фидами требуется MITIGATOR версии v23.06 или более поздней. Токен указывается в настройках системы в карточке «Сервер аналитики». Для получения токена следует обратиться к вашему аккаунт-менеджеру.
Типы генерируемых фидов
Статья содержит краткое описание репутационных списков. Подробное описание по каждому списку приведено в справке на сервисе PSG.
Название фида указывает на источник и критерии его наполнения. Если в названии
присутствует слово intersect, значит фид формируется из пересечений по нескольким
источникам, отделяемых символом “_”.
Например intersect_tbl_proxy-common в названии означает, что в фиде содержатся
IP-адреса, попавшие в TBL и принадлежащие списку IP-адресов публичных прокси.
Модификаторы фидов
В названии могут присутствовать суффиксы-модификаторы, указывающие на дополнительные фильтры, примененные при формировании фида:
По принадлежности к стране:
| Обозначение | Описание |
|---|---|
_ru |
фид содержит только IP-адреса, относящиеся к России. |
_wo-ru |
фид содержит только IP-адреса, не относящиеся к России. |
_runat |
фид содержит только IP-адреса, относящиеся к легитимным NAT и proxy из России. |
_wo-runat |
фид содержит только IP-адреса, не относящиеся к легитимным NAT и proxy из России. |
Суффиксы _ru, _wo-ru и _runat, _wo-runat могут комбинироваться. Например, фид _ru_wo-runat
будет содержать только российские IP-адреса за вычетом легитимных NAT и proxy. Если суффиксы не указаны,
то такой фид содержит все значения.
По времени:
| Обозначение | Описание |
|---|---|
_1d |
фид содержит значения, наблюдавшиеся за последние 24 часа. Обновляется каждые 5 минут. |
_3d |
фид содержит значения, наблюдавшиеся за последние 3 дня. Обновляется каждые 5 минут. |
_5d |
фид содержит значения, наблюдавшиеся за последние 5 дней. Обновляется каждые 15 минут. |
_7d |
фид содержит значения, наблюдавшиеся за последнюю неделю. Обновляется каждые 15 минут. |
_30d |
фид содержит значения, наблюдавшиеся за последний месяц. Обновляется каждый час. |
Таким образом, фид proxy-uashield_wo-ru_1d будет содержать в себе
нероссийские IP-адреса прокси-серверов, с которых велись DDoS-атаки с
помощью uashield за последние сутки. Для фидов intersect выборка
за указанный интервал делается для обоих источников.
Планы на развитие сервиса
Планируется больше фидов:
- автономные системы хостингов;
- автономные системы, замеченные в атаках;
- легитимные российские прокси-серверы и NAT;
- результаты анализа логов защищаемых серверов;
- JA3-отпечатки по различным критериям;
- UDP-амплификаторы.
По всем замечаниям и предложениям просим писать в поддержку.
Исключение адресов из фидов
Команда MITIGATOR не гарантирует, что применение фидов в MITIGATOR не повлияет на прохождение легитимного трафика. При ложных срабатываниях или необходимости исключения из фида конкретных IP-адресов обращайтесь в Service Desk или Telegram-бот.