В настоящее время я использую бесплатный VPN-сервис, и в последнее время я получаю много писем о злоупотреблениях из сети Sony Playstation, в которых говорится, что с IP-адресов моих серверов идет грубая форсировка API их учетных записей пользователей.
Электронная почта ниже:
Для предъявления по месту требования,
В соответствии с корпоративной политикой Sony Interactive Entertainment LLC («SIE») указанные ниже IP-адреса были занесены в черный список для использования наших услуг, поскольку компания SIE обнаружила действия, нарушающие наши сетевые службы. По нашему мнению, оскорбительная деятельность не была связана со скоростью или объемом (много пользователей за одним и тем же IP-адресом, то есть NAT), а соответствовала конкретным схемам известного злоупотребления нашими общедоступными услугами. Это злоупотребление может быть результатом взлома компьютера в вашей сети, который участвует в злоупотреблении ботнетом нашими услугами.
Следующая таблица с IP-адресами, датами и временем должна помочь вам определить происхождение оскорбительных действий. Отметки времени являются приблизительными из наших журналов. Фактическое время событий зависит от сопоставленной подписи. Очень вероятно, что это произошло как до, во время, так и после указанного времени.
Приблизительный временной диапазон (UTC), IP-адрес, причина 2017-04-17 08:22 ~ 2017-04-17 08:52 (UTC),, попытки захвата учетной записи
Скорее всего, трафик атаки направлен на одну из следующих конечных точек:
account.sonyentertainmentnetwork.com auth.np.ac.playstation.net auth.api.sonyentertainmentnetwork.com auth.api.np.ac.playstation.net
Эти конечные точки в нашей сети разрешаются Geo DNS, поэтому IP-адреса, которые они разрешают, будут зависеть от исходного IP-адреса.
Порт назначения будет TCP 443.
Пожалуйста, примите необходимые меры, чтобы как можно скорее исправить вредоносную активность с перечисленных выше IP-адресов, чтобы избежать дальнейших сбоев. Если мы удалим какой-либо из этих IP-адресов из черного списка и последующая злонамеренная активность будет обнаружена, IP-адрес будет снова немедленно занесен в черный список.
Благодарим Вас за оперативное внимание к этому вопросу. Если вам требуется помощь или дополнительная информация, обратитесь по адресу snei-noc-abuse@am.sony.com и укажите соответствующий IP-адрес.
Обычно я мог просто разрешить их DNS и заблокировать их IP-адреса в iptables, чтобы нарушающие пользователи не могли даже подключиться к их API, однако они упомянули, что используют GEO DNS, что делает практически невозможным точное определение всех их IP-адресов, поскольку вам придется разрешить их DNS со всего мира, чтобы получить их (даже в этом случае это просто предположение, если они у вас есть).
Есть ли у меня какие-либо другие способы заблокировать указанные выше имена хостов с GEO DNS?
Предоставление бесплатного VPN-сервиса, возможно, без проверки пользователей, как правило, вызывает такого рода проблемы. Общая картина заключается в том, что Sony Interactive Entertainment LLC может быть не единственной жертвой, но они достаточно любезны, чтобы сообщить вам о проблеме. Если вы просто хотите решить проблему за них, они уже предприняли достаточно действий, заблокировав ваш IP.
Если вам небезразлична репутация вашего сервиса и ваш IP / IP-блок, вам следует попытаться предотвратить злоупотребления в более крупном масштабе. Поскольку ваш сервер не скомпрометирован, вы можете использовать его для отслеживания трафика. Есть несколько открытых исходников средства обнаружения вторжений, например Фырканье, Суриката и Bro-IDS. Другой вариант - иметь какой-нибудь унифицированное устройство управления угрозами UTM между вашим сервером и Интернетом, автоматически блокируя вредоносные соединения. В любом случае, эти инструменты предназначены не только для защиты вас от дикого Интернета, но и для защиты Интернета от злонамеренных действий, которые происходят через вашу службу.
Как упоминала Sony, брандмауэр географически распределенной службы, вероятно, будет невыполнимой задачей - они используют DNS с географическим разрешением (как и большинство крупных организаций с глобальной инфраструктурой), чтобы направлять клиентов на ближайшую к ним конечную точку.
Я рекомендую выяснить, какие клиенты направляют трафик на эти конечные точки, и заблокировать их. Бесплатные или нет, злоупотребления недопустимы в отношении каких-либо услуг.