У цій публікації розповім як самотужки проаналізувати будь-яку підозрілу IP-адресу. Реальний практичний кейс OSINT-розвідки токсичних IP-адрес. Також дам пояснення як заблокувати й внести такі IP-адреси у чорний список.
Виявити токсичні або підозрілі IP-адреси (malicioius IP) можна з допомогою різноманітних технік і систем моніторингу.
Нижче приклади виявлення токсичних IP-адрес з допомогою антиспам-фільтру та email-заголовків:
Найбільше інформації містять системні журнали – логи (log files). Вони реєструють усе, що відбувається на рівні інфраструктури/сервера/сайту.
Існує 2 типи логів:
Для CMS WordPress існує окремий лог – /wp-content/debug.log, але його треба попередньо активувати в конфігурації wp-config.php вказавши директиви:
define (‘WP_DEBUG’, true); define (‘WP_DEBUG_LOG’, true);
Швидко переглянути останні записи логів можна з допомогою командного рядка Linux:
Для розгалуженої ІТ-інфраструктури застосовують централізовані платформи моніторингу, такі як Splunk, Zabbix, Kibana, Graffana, а також SIEM-системи, які автоматично аналізують логи й сповіщають адміністраторів про підозрілі хости/IP-адреси та спроби атак з них.
Ще одним способом виявлення підозрілих IP-адрес є Threat Intelligence платформи, а також методи “медової бочки” (honeyspot), які заманюють потенційних зловмисників, добровільно відкриваючи їм завчасно заготовлені мережеві порти, впускаючи на “липовий” сервер, а далі здійснюючи комплексне спостереження за ними.
Заблокувати токсичну IP-адресу також можна різними способами.
1. Найперший з них – скористатися мережевою утилітою IPtables і здійснити блокування на рівні сервера.
Ось деякі приклади використання:
iptables -A INPUT -s X.XX.XXX.XXX -j DROP
– блокування усіх вхідних запитів з вказаної IP-адреси;iptables -I INPUT -i eth0 -s XX.XXX.XXX.XXX -j DROP
– блокування усіх вхідних запитів щодо мережевого інтерфейсу eth0 з вказаної IP-адреси;iptables -I INPUT -s XX.XX.XX.XX/8 -j DROP
– заблокувати усі вхідні запити, які надходять із вказаного пулу IP-адрес (підмережі);iptables -A INPUT -s XX.XXX.XX.XX -p tcp --dport 100 -j DROP
– заблокувати вхідні запити на вказаний TCP-порт з зазначеної IP-адреси;iptables -A OUTPUT -p tcp -d XX.XX.XXX.XXX -j DROP
– заблокувати усі вихідні запити до конкретної IP-адреси по TCP-порту;iptables -A INPUT -p icmp -i eth0 -j DROP
– заблокувати усі вхідні запити по ICMP-порту (ping) на конкретний мережевий інтерфейс;iptables -A INPUT -m mac --mac-source XX:XX:XX:XX:XX:XX -j DROP
– заблокувати вхідні запити до пристрою по конкретній MAC-адресі;iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j REJECT
– обмежити кількість одночасних з’єднань (не більше 3) по зазначеному TCP порту;iptables -A OUTPUT -p tcp -m multiport --dports 25,465,587 -j REJECT
– заборонити вихідні запити (відправка електронної пошти) по вказаним портам;service iptables save
– зберегти нові правила IPtables;systemctl restart iptables
– перезавантажити службу IPtables;iptables -L
– переглянути правила IPtables.2. Якщо сайт на базі CMS WordPress, слушно буде встановити плагін-фаєрвол Wordfence Security і внести токсичну IP-адресу у його блекліст. Для цього необхідно перейти в меню Wordfence -> Blocking:
3. На третьому етапі, не зайвим буде здійснити зовнішнє блокування на рівні CDN/WAF Cloudflare.
Треба перейти у налаштування домену, в розділ Security ->WAF й створити правило блокування:
Додатково у тому ж розділі Security можна перейти в меню Bots й увімкнути Bots Fight Mode. А також в розділі Security -> Settings підняти загальний рівень безпеки, наприклад з Low на Medium.
Отже, у результаті маємо тришаровий ешелонований захист. Якщо зловмисник повторно вирішить атакувати вас зі своєї IP-адреси – отримає блокування на всіх рівнях.
Додатково рекомендую зареєструватися в широковідомому сервісі AbuseIPDB і внести токсичну IP-адресу у їхню базу даних. Перевагою сервісу є те, що він інтегрується з багатьма антиспам-фільтрами, фаєрволами та системами. Таким чином, ви зможете попередити атаки не тільки для себе, а й для інших.
Інші abuse-report сервіси:
Також читайте: Виявлення і знешкодження шкідливих сайтів
OSINT-розвідка IP-адрес мало чим відрізняється від розвідки доменів – Web Domain Intelligence (WEBINT) і полягає у тому, щоб зібрати про хост якомога більше інформації, використуючи відкриті і публічнодоступні джерела, спеціалізовані додатки, Cyber Threat Intelligence (CTI) платформи, сканери, пошукові системи тощо.
Для аналізу хостів та IP-адрес я застосовую безліч інструментів та онлайн-сервісів. Розглянемо кращі із них.
Host – це найпростіша утиліта мережевої розвідки Linux для миттєвого аналізу DNS та rDNS.
Приклади команд:
Whois – це TCP-протокол, який збирає інформацію з реєстрів доменних імен (IANA, RIPE, ICANN, InterNIC). Whois може надати чимало інформації про хост або домен, наприклад дані власника і провайдера (реєстранта) домену, прив’язані NS-сервери, контактні і технічні дані.
Приклади команд:
В тілі відповідей WHOIS варто завжди звертати увагу на такі статуси:
Traceroute – це мережева утиліта призначена для визначення маршрутів проходження даних у мережах TCP/IP.
Приклад команди:
Ping – це мережева утиліта для перевірки з’єднань в мережах на основі стеку TCP/IP.
Приклади команд:
Dig (з англ. “dig” — копати) — це потужна багатофункціональна утиліта командного рядка Linux для аналізу DNS-зони.
Приклади команд:
Nslookup (з англ. “name server lookup”) — корисна, проста і функціональна утиліта Linux для аналізу DNS.
Приклади команд:
Google Dorks – це спеціальні пошукові запити, які дозволяють знаходити певний тип інформації в інтернеті.
Приклади пошукових запитів:
Читайте детальніше про Google Dorks>>
Dirb – це утиліта командого рядка для фаззінгу URL-адрес і пошуку прихованих файлів і директорій.
Приклади команд:
testssl.sh – це утиліта командного рядка Linux для перевірки SSL-сертифікатів.
Приклад команди:
Nikto – це мережевий сканер для аналізу хостів та доменів в командному рядку Linux.
Приклади команд:
NMAP – це “народна” утиліта командного рядку для сканування мережевих портів. Надзвичайно просунута, гнучка і функціональна. Універсальний інструмент, який можна використовувати для різних цілей та задача — і для OSINT, і для пошуку та аналізу вразливостей, тестувань на проникнення. Застосовується IT-спеціалістами різних областей: кіберфахівцями, адміністраторами, вебмайстрами, програмістами, пентестерами.
Приклади команд:
Web Check – це універсальний інструмент для пошуку інформації про веб-сайт/хост, створений дослідницею безпеки Alycia Sykes. З допомогою сервісу можна дізнатися архітектуру та походження певного електронного ресурсу, переглянути такі дані як: інформація про IP-адресу, SSL, DNS, cookie, HTTP-заголовки, розташування сервера, відкриті порти, traceroute, трекери, пов’язані імена хостів та багато іншого.
Shodan.io – це культова кібер-пошукова система, яка дозволяє швидко знаходити пристрої та електронні ресурси у мережі Інтернет та аналізувати відомості про них.
Щоби проаналізувати будь-яку IP-адресу у кібер-пошуковику SHODAN, достатньо вставити в пошуковий рядок браузера URL-адресу:
https://www.shodan.io/host/X.XX.XXX.XX
У відповідь SHODAN покаже вичерпні відомості, які йому вдалось отримати з відкритих джерел:
Censys.io – це пошукова система мережевих пристроїв і електронних ресурсів, заснована американськими дослідниками.
Для перевірки IP-адреси у пошуковій системі CENSYS вбиваємо URL у форматі:
https://search.censys.io/hosts/XX.XXX.XXX.XX
Існує також сервіс на базі штучного інтелекту – CensysGPT, який конструює запити для пошуку даних: https://gpt.censys.io/
ZoomEye – це китайська кібер-пошукова система, призначеня для виявлення та аналізу мережевих пристроїв і ресурсів.
Для перевірки IP-адреси в ZoomEye необхідна реєстрація. В результатах пошукової видачі отримуємо чимало інформації:
CISCO Talos – це потужна кіберпошукова система від засновників CISCO для аналізу та перевірки IP-адрес.
URL-адреса для перевірки:
https://talosintelligence.com/reputation_center/lookup?search=XXX.XXX.XXX.XXX
RISKIQ – це Threat Intelligence платформа для мережевої розвідки.
URL-адреса для перевірки:
https://community.riskiq.com/search/XXX.XXX.XXX.XXX
Intelx.io – це популярний OSINT-сервіс для пошуку витоків даних в мережі Інтернет.
URL-адреси для перевірки:
https://intelx.io/?s=XXX.XXX.XXX.XXX
https://intelx.io/tools?tab=ip
DNSlytics – це комплекс онлайн-інструментів для аналізу електронних ресурсів.
Цікавим є інструмент Reverse IP в сервісі DNSlytics, який показує пов’язані ресурси та домени, що може знадобитися для подальшого інтернет-розслідування:
Приклад API-запиту:
Документація по API DNSlytics>>
Maltego – це відомий додаток для проведення OSINT-розслідувань, який входить до складу операційної системи Kali Linux.
Сервіс Maltego допоможе візуалізувати деталізовану блок-схему усіх пов’язаних з токсичною IP-адресою хостів і доменів та структурувати ці зв’язки:
SpiderFoot – це безкоштовна автоматизована десктопна OSINT-платформа, написана на Python. Являє собою агрегатор API різних кіберпошукових систем.
DNSdumpster – це онлайн-сервіс для проведення пасивної DNS-розвідки.
Сервіс DNSdumpster допоможе провести пасивну DNS-розвідку (Passive DNS) досліджуваної IP-адреси, покаже HTTP-заголовки сервера та список направлених на неї хостів:
Synapsint – це безкоштовний OSINT-сервіс для пошуку інформації, пов’язаної з доменом, IP-адресою та ASN.
Criminalip.io – це пошукова Threat Intelligence платформа, яка виявляє та аналізує мережеві пристрої та електронні ресурси.
URL-адреса для перевірки:
https://www.criminalip.io/asset/search?query=ip%3AXX.XXX.XXX.XXX
Cloudflare Radar – це онлайн-сервіс від засновників Cloudflare, який складається з різних дашбордів та надає різноманітну статистичну інформацію: кібератаки, трафік, ip-адреси, домени, якість інтернету і багато іншого. Також тут можна отримати інформацію про будь-яку URL або IP-адресу.
Cylect.io – це OSINT-фреймворк і агрегатор популярних пошукових онлайн-сервісів. Містить величезну кількість посилань на кращі інструменти, включаючи AI.
Security Trails – це популярний онлайн-сервіс від засновників американської розвідувальної агенції RecordFuture.
Сервіс Security Trails дозволить знайти пов’язані домени і проаналізувати їх історію, хронологію DNS-записів:
Приклади безкоштовних API-запитів:
Документація по API SecurityTrails>>
IPQULITYSCORE – це Fraud Detection система, яка дає оцінку якості IP-адреси, а також може перевіряти URL/Email/Domain.
Сервіс цінний тим, що показує сукупну інформацію за вказаною IP-адресою. Надаються такі статуси як Proxy, TOR, VPN, а також бот-активність, географія, ASN і ISP провайдера, хост-адреса та інші параметри.
Iknowwhatyoudownload.com – це сервіс, який виявляє Торент-завантаження за IP-адресою. Таким чином, можна визначити, що завантажує той чи інший користувач Інтернету, якщо він користується Торентом.
URL-адреса для перевірки:
https://iknowwhatyoudownload.com/en/peer/?ip=XX.XXX.XXX.XXX
Читайте також: Кіберпошукові системи для пентестера
ПОДІЛИТИСЬ У СОЦМЕРЕЖАХ:
Заповніть, будь ласка, форму й наш спеціаліст зв’яжеться з Вами та надасть безкоштовну консультацію!
Вкажіть, будь ласка, контактний номер телефону. Наш менеджер миттєво зв’яжеться з Вами!