Репутационные списки с сервиса аналитики
Командой MITIGATOR формируются регулярно обновляемые репутационные списки
IP-адресов, автономных систем и JA3-отпечатков (далее “фиды”).
Фиды могут импортироваться в MITIGATOR в виде именованных списков и применяться
в контрмерах и правилах маршрутизации.
Для этого в качестве типа источника именованного списка следует указать
Mitigator feeds и выбрать необходимый фид.
Фиды недоступны для скачивания или просмотра содержимого, даже через Web-интерфейс MITIGATOR.
Доступ к фидам предоставляется по токену и дополнительно лицензируется. Для работы с фидами требуется MITIGATOR версии v23.06 или более поздней. Токен указывается в настройках системы в карточке «Сервер аналитики». Для получения токена следует обратиться к вашему аккаунт-менеджеру.
Типы генерируемых фидов
Название фида указывает на источник и критерии его наполнения. Если в названии
присутствует слово intersect, значит фид формируется из пересечений по нескольким
источникам, отделяемых символом “_”.
Например intersect_tbl_proxy-common в названии означает, что в фиде содержатся
IP-адреса, попавшие в TBL и принадлежащие списку IP-адресов публичных прокси.
al в названии фида указывает, что фид был получен в результате обработки accesslog,
защищаемых HTTP-ресурсов.
| Обозначение | Описание |
|---|---|
proxy-MHDDoS |
IP-адреса прокси-серверов, применяемых инструментом MHDDoS. |
proxy-common |
IP-адреса публичных прокси-серверов из различных источников. |
proxy-general |
Сводный список уникальных IP-адресов по всем proxy-* фидам. |
asn_hosting |
Автономные системы организаций, которые предоставляют услуги хостинга. |
asn_prefixes |
IP-адреса, принадлежащие автономным системам организаций, которые предоставляют услуги хостинга. |
tbl-unique |
IP-адреса, попавшие в TBL хотя бы на одной из инсталляций MITIGATOR больше одного раза. |
tbl_hosting_prefixes |
IP-адреса из списка asn_prefixes, которые заносили в TBL вручную, с помощью Logan или контрмеры ATLS. |
intersect_tbl_proxy-MHDDoS |
IP-адреса из списка прокси-серверов proxy-MHDDoS, которые заносили в TBL. |
intersect_tbl_proxy-common |
IP-адреса из списка прокси-серверов proxy-common, которые заносили в TBL. |
intersect_tbl_proxy-general |
IP-адреса из списка прокси-серверов proxy-general, которые заносили в TBL. |
intersect_tbl_firehol |
IP-адреса из списка firehol, занесенные в TBL хотя бы на одной из инсталляций MITIGATOR. |
intersect_tbl_asn_hosting |
IP-адреса из автономных систем хостинг-провайдеров, которые заносили в TBL. |
intersect_tbl_custom_sources |
IP-адреса из репутационных списков от различных источников, которые заносили в TBL. |
intersect_tbl_tbl_2 |
IP-адреса, попавшие в TBL на двух и более инсталляциях MITIGATOR. |
intersect_tbl_tbl_3 |
IP-адреса, попавшие в TBL на трех и более инсталляциях MITIGATOR. |
intersect_tbl_tbl_4 |
IP-адреса, попавшие в TBL на четырех и более инсталляциях MITIGATOR. |
intersect_tbl_tbl_5 |
IP-адреса, попавшие в TBL на пяти и более инсталляциях MITIGATOR. |
intersect_tbl_tbl_6 |
IP-адреса, попавшие в TBL на шести и более инсталляциях MITIGATOR. |
intersect_atls_atls_2 |
IP-адреса, занесенные в TBL контрмерой ATLS на двух и более инсталляциях MITIGATOR. |
intersect_atls_atls_3 |
IP-адреса, занесенные в TBL контрмерой ATLS на трех и более инсталляциях MITIGATOR. |
intersect_atls_atls_4 |
IP-адреса, занесенные в TBL контрмерой ATLS на четырех и более инсталляциях MITIGATOR. |
intersect_atls_atls_5 |
IP-адреса, занесенные в TBL контрмерой ATLS на пяти и более инсталляциях MITIGATOR. |
intersect_atls_atls_6 |
IP-адреса, занесенные в TBL контрмерой ATLS на шести и более инсталляциях MITIGATOR. |
intersect_dns_dns_2 |
IP-адреса, занесенные в TBL контрмерой DNS на двух и более инсталляциях MITIGATOR. |
intersect_dns_dns_3 |
IP-адреса, занесенные в TBL контрмерой DNS на трех и более инсталляциях MITIGATOR. |
intersect_dns_dns_4 |
IP-адреса, занесенные в TBL контрмерой DNS на четырех и более инсталляциях MITIGATOR. |
intersect_dns_dns_5 |
IP-адреса, занесенные в TBL контрмерой DNS на пяти и более инсталляциях MITIGATOR. |
intersect_dns_dns_6 |
IP-адреса, занесенные в TBL контрмерой DNS на шести и более инсталляциях MITIGATOR. |
intersect_manual_manual_2 |
IP-адреса, занесенные в TBL пользователем вручную на двух и более инсталляциях MITIGATOR. |
intersect_manual_manual_3 |
IP-адреса, занесенные в TBL пользователем вручную на трех и более инсталляциях MITIGATOR. |
intersect_manual_manual_4 |
IP-адреса, занесенные в TBL пользователем вручную на четырех и более инсталляциях MITIGATOR. |
intersect_manual_manual_5 |
IP-адреса, занесенные в TBL пользователем вручную на пяти и более инсталляциях MITIGATOR. |
intersect_manual_manual_6 |
IP-адреса, занесенные в TBL пользователем вручную на шести и более инсталляциях MITIGATOR. |
al-root_with_params |
IP-адреса, присылающие запросы с неправильно сформированным URI. |
al-referer_patterns |
IP-адреса, присылающие запросы с подозрительным Referer. |
al-path_patterns |
IP-адреса, присылающие запросы с одинаковым путем. |
al-method_patterns |
IP-адреса, присылающие запросы с указанием некорректного метода. |
al-yandex_bots |
IP-адреса поисковых ботов Яндекса. |
al-google_bots |
IP-адреса поисковых ботов Google. |
al-fake_yandex_bots |
IP-адреса нелегитимных ботов, выдающих себя за поисковые боты Яндекса. |
al-fake_google_bots |
IP-адреса нелегитимных ботов, выдающих себя за поисковые боты Google. |
al-flood |
IP-адреса, замеченные в генерации http-флуда. |
al-wrong_ways |
IP-адреса, замеченные в переборе неожидаемых путей и параметров http-запроса. |
al-legitime |
IP-адреса, успешно проходившие авторизацию на защищаемых ресурсах. |
al-background |
IP-адреса, обращающиеся на защищаемые ресурсы, за которыми замечено необычное поведение, например, регулярная подмена user-agent. |
al-scan |
IP-адреса, замеченные в попытках сканирования на наличие уязвимостей. |
al-general |
Сводный список уникальных IP-адресов по всем al-* фидам, кроме al-legitime, al-fake_google_bots и al-fake_yandex_bots. |
ja3-black_common |
Предполагаемые JA3-отпечатки атакующего инструментария. Можно применять для блокировки. |
ja3-bots_common |
JA3-отпечатки ботов, наблюдаемые в атакующем трафике, но такие отпечатки могут встречаться и у легитимных пользователей. |
ja3-grey_common |
Подозрительные JA3-отпечатки. Фид применяется для дополнительной аналитики. |
ja3-users_common |
JA3-отпечатки, замеченные за легитимными пользователями. |
ja3-white_common |
JA3-отпечатки, которые нельзя блокировать, так как им соответствует большое количество легитимных пользователей. |
ja3-top_20 |
20 наиболее часто встречающихся ja3-отпечатков. |
ja3-top_50 |
50 наиболее часто встречающихся ja3-отпечатков. |
ja3-top_100 |
100 наиболее часто встречающихся ja3-отпечатков. |
ja3-top_sorted_ext_20 |
20 наиболее часто встречающихся ja3-отпечатков после сортировки расширений в порядке возрастания. |
ja3-top_sorted_ext_50 |
50 наиболее часто встречающихся ja3-отпечатков после сортировки расширений в порядке возрастания. |
ja3-top_sorted_ext_100 |
100 наиболее часто встречающихся ja3-отпечатков после сортировки расширений в порядке возрастания. |
tor_exits |
IP-адреса выходных узлов TOR. |
runat |
IP-адреса, относящиеся к легитимным NAT из России. |
Модификаторы фидов
В названии могут присутствовать суффиксы-модификаторы, указывающие на дополнительные фильтры, примененные при формировании фида:
По принадлежности к стране:
| Обозначение | Описание |
|---|---|
_ru |
фид содержит только IP-адреса, относящиеся к России. |
_wo-ru |
фид содержит только IP-адреса, не относящиеся к России. |
_runat |
фид содержит только IP-адреса, относящиеся к легитимным NAT и proxy из России. |
_wo-runat |
фид содержит только IP-адреса, не относящиеся к легитимным NAT и proxy из России. |
Суффиксы _ru, _wo-ru и _runat, _wo-runat могут комбинироваться. Например, фид _ru_wo-runat
будет содержать только российские IP-адреса за вычетом легитимных NAT и proxy. Если суффиксы не указаны,
то такой фид содержит все значения.
По времени:
| Обозначение | Описание |
|---|---|
_1d |
фид содержит значения, наблюдавшиеся за последние 24 часа. Обновляется каждые 5 минут. |
_3d |
фид содержит значения, наблюдавшиеся за последние 3 дня. Обновляется каждые 5 минут. |
_5d |
фид содержит значения, наблюдавшиеся за последние 5 дней. Обновляется каждые 15 минут. |
_7d |
фид содержит значения, наблюдавшиеся за последнюю неделю. Обновляется каждые 15 минут. |
_30d |
фид содержит значения, наблюдавшиеся за последний месяц. Обновляется каждый час. |
Таким образом, фид proxy-uashield_wo-ru_1d будет содержать в себе
нероссийские IP-адреса прокси-серверов, с которых велись DDoS-атаки с
помощью uashield за последние сутки. Для фидов intersect выборка
за указанный интервал делается для обоих источников.
Планы на развитие сервиса
Планируется больше фидов:
- автономные системы хостингов
- автономные системы, замеченные в атаках
- легитимные российские прокси-серверы и NAT
- результаты анализа логов защищаемых серверов
- JA3-отпечатки по различным критериям
- UDP-амплификаторы
По всем замечаниям и предложениям просим писать в поддержку.
Исключение адресов из фидов
Команда MITIGATOR не гарантирует, что применение фидов в MITIGATOR не повлияет на прохождение легитимного трафика. При ложных срабатываниях или необходимости исключения из фида конкретных IP-адресов обращайтесь в Service Desk или Telegram-бот.