Репутационные списки с сервиса аналитики

Командой MITIGATOR формируются регулярно обновляемые репутационные списки IP-адресов, автономных систем и JA3-отпечатков (далее “фиды”). Фиды могут импортироваться в MITIGATOR в виде именованных списков и применяться в контрмерах и правилах маршрутизации. Для этого в качестве типа источника именованного списка следует указать Mitigator feeds и выбрать необходимый фид.

Фиды недоступны для скачивания или просмотра содержимого, даже через Web-интерфейс MITIGATOR.

Информация

Доступ к фидам предоставляется по токену и дополнительно лицензируется. Для работы с фидами требуется MITIGATOR версии v23.06 или более поздней. Токен указывается в настройках системы в карточке «Сервер аналитики». Для получения токена следует обратиться к вашему аккаунт-менеджеру.

Типы генерируемых фидов

Информация

Статья содержит краткое описание репутационных списков. Подробное описание по каждому списку приведено в справке на сервисе PSG.

Название фида указывает на источник и критерии его наполнения. Если в названии присутствует слово intersect, значит фид формируется из пересечений по нескольким источникам, отделяемых символом “_”. Например intersect_tbl_proxy-common в названии означает, что в фиде содержатся IP-адреса, попавшие в TBL и принадлежащие списку IP-адресов публичных прокси.

Модификаторы фидов

В названии могут присутствовать суффиксы-модификаторы, указывающие на дополнительные фильтры, примененные при формировании фида:

По принадлежности к стране:

Обозначение Описание
_ru фид содержит только IP-адреса, относящиеся к России.
_wo-ru фид содержит только IP-адреса, не относящиеся к России.
_runat фид содержит только IP-адреса, относящиеся к легитимным NAT и proxy из России.
_wo-runat фид содержит только IP-адреса, не относящиеся к легитимным NAT и proxy из России.

Суффиксы _ru, _wo-ru и _runat, _wo-runat могут комбинироваться. Например, фид _ru_wo-runat будет содержать только российские IP-адреса за вычетом легитимных NAT и proxy. Если суффиксы не указаны, то такой фид содержит все значения.

По времени:

Обозначение Описание
_1d фид содержит значения, наблюдавшиеся за последние 24 часа. Обновляется каждые 5 минут.
_3d фид содержит значения, наблюдавшиеся за последние 3 дня. Обновляется каждые 5 минут.
_5d фид содержит значения, наблюдавшиеся за последние 5 дней. Обновляется каждые 15 минут.
_7d фид содержит значения, наблюдавшиеся за последнюю неделю. Обновляется каждые 15 минут.
_30d фид содержит значения, наблюдавшиеся за последний месяц. Обновляется каждый час.

Таким образом, фид proxy-uashield_wo-ru_1d будет содержать в себе нероссийские IP-адреса прокси-серверов, с которых велись DDoS-атаки с помощью uashield за последние сутки. Для фидов intersect выборка за указанный интервал делается для обоих источников.

Планы на развитие сервиса

Планируется больше фидов:

  • автономные системы хостингов;
  • автономные системы, замеченные в атаках;
  • легитимные российские прокси-серверы и NAT;
  • результаты анализа логов защищаемых серверов;
  • JA3-отпечатки по различным критериям;
  • UDP-амплификаторы.

По всем замечаниям и предложениям просим писать в поддержку.

Исключение адресов из фидов

Команда MITIGATOR не гарантирует, что применение фидов в MITIGATOR не повлияет на прохождение легитимного трафика. При ложных срабатываниях или необходимости исключения из фида конкретных IP-адресов обращайтесь в Service Desk или Telegram-бот.