Анализ списка IP-адресов

Механизм анализирует списки IPv4-адресов, предоставляя расширенный набор данных по каждому адресу списка. Проверяется:

  • наличие адресов в репутационных списках;
  • соответствие базам GeoIP.

Если в списке указан префикс от /24 до /32, то он раскладывается на отдельные адреса.

Загружаемый список должен соответствовать следующим требованиям:

  • файл имеет текстовый формат;
  • в качестве значений принимаются: IP-адрес, IP-адрес с маской, IP-адрес со значением порта через двоеточие;
  • допустимые разделители: запятая, пробел, точка с запятой, перенос строки.

Строки файла, закомментированные символом #, не учитываются при анализе.

Для анализа списка IP-адресов можно активировать следующие чекбоксы:

  • “Интерактивный вывод” — вместо текстового формируется интерактивный html-отчет;
  • “GEO по каждому IP” — добавить в отчет информацию из GEO-баз по каждому IP-адресу списка;
  • “Страны по количеству IP” — добавить в отчет информацию о распределении IP-адресов списка по странам;
  • “Автономные системы по количеству IP” — добавить в отчет информацию о распределении IP-адресов списка по автономным системам;
  • “Внешние списки IP” — добавить в отчет информацию о соответствии IP-адресов внешним репутационным спискам;
  • “Кастомные списки IP” — добавить в отчет информацию о соответствии IP-адресов дополнительным репутационным спискам;
  • “Списки SS IP” — добавить в отчет информацию о соответствии IP-адресов репутационным спискам, сформированным на сервере статистики;
  • “Найденные IP во всех выбранных списках” — добавить в отчет перечень IP-адресов, попавших в выбранные репутационные списки;
  • “GEO по найденным IP” — добавить в отчет информацию из GEO-баз по IP-адресам, попавшим в выбранные репутационные списки;
  • “Страны по количеству найденных IP” — добавить в отчет информацию о распределении по странам IP-адресов, попавших в выбранные репутационные списки;
  • “Автономные системы по количеству найденных IP” — добавить в отчет информацию о распределении по автономным системам IP-адресов, попавших в выбранные репутационные списки.

Отчет

Отчет может формироваться как текстовый файл или как интерактивная html-страница, если установлен чекбокс “Интерактивный вывод”. Содержание отчета не зависит от формы представления, но интерактивная версия имеет ряд преимуществ и удобнее в использовании, поэтому описание отчета строится на ней.

Каждая секция отчета может быть свернута. Внутри секций, отвечающих за проверку по репутационным спискам приводится поименный перечень всех источников, в которые попали анализируемые IP-адреса. Двойной клик на IP-адрес вызывает всплывающую подсказку, в которой отображается перечень всех фидов, в которых обнаружен данный IP-адрес. Если был установлен чекбокс “GEO по каждому IP”, для такого IP-адреса также будет выведена информация о соответствии стране, городу и автономной системе.

Интерактивный отчет может быть экспортирован в HTML страницу для последующего использования вне PSG.

Отчет состоит из секций:

  • Total;

    • IP parsed — количество IP-адресов в списке;
    • IP with prefix parsed — количество префиксов в списке;
    • Total IP parsed — суммарное количество обработанных IP-адресов;
    • Invalid IP parsed — количество значений, нераспознанных как IP-адреса, если они есть в файле;
    • Matched IPs — количество адресов, по которым есть совпадения со списками и их процент от общего числа адресов.

  • Geo per IP analysis;

    Для IP-адресов загруженного списка отображается соответствие стране, городу, номеру и имени автономной системы.

  • Geo country per IP count;

    Для IP-адресов загруженного списка отображается распределение по странам.

  • Geo AS per IP count;

    Для IP-адресов загруженного списка отображается распределение по автономным системам.

  • IP lists Analysis;

    В секции приводятся список всех IP-адресов, по которым обнаружено вхождение в репутационные списки этой категории, затем вхождение по каждому списку c указанием названия списка и количества вхождений;

  • Custom IP lists Analysis;

    В секции приводятся список всех IP-адресов, по которым обнаружено вхождение дополнительные репутационные списки, затем вхождение по каждому списку, затем вхождение по каждому списку c указанием названия списка и количества вхождений;

  • SS feed IP lists Analysis;

    В секции приводятся список IP-адресов, по которым обнаружено вхождение в репутационные списки, сформированные на сервере статистики за различные временные интервалы, затем вхождение по каждому списку. Доступна фильтрация по именам списков, с использованием регулярных выражений, реализованная через 2 поля ввода: “Показать” и “Скрыть”. Например, можно показывать только фиды, в названии которых присутствует tbl_asn_* и вычесть из выдачи фиды за 30 дней;

  • Matched IPs in all IP lists;

    В секции приводятся списки IP-адресов, по которым обнаружено вхождение хотя бы в один из выбранных репутационных списков.

  • Geo per IP analysis for matched IPs;

    Для IP-адресов, попавших хотя бы в один из выбранных репутационных списков, отображается соответствие стране, городу, номеру и имени автономной системы.

  • Geo country per IP count for matched IPs;

    Для IP-адресов, попавших хотя бы в один из выбранных репутационных списков, отображается распределение по странам.

  • Geo AS per IP count for matched IPs;

    Для IP-адресов, попавших хотя бы в один из выбранных репутационных списков, отображается распределение по автономным системам.