我目前正在运营一项免费的 VPN 服务,最近我收到了很多来自索尼 Playstation 网络的滥用电子邮件,说我的服务器 IP 对其用户帐户 API 进行了暴力破解。
电子邮件如下:
敬启者,
根据 Sony Interactive Entertainment LLC(“SIE”)的公司政策,以下 IP 地址被列入黑名单,禁止使用我们的服务,因为 SIE 检测到滥用我们网络服务的活动。我们认为,滥用活动与速度或容量无关(许多用户使用同一个 IP 地址,即 NAT),但符合我们公开提供的服务的特定已知滥用模式。这种滥用可能是由于您网络上的计算机受到攻击并参与了对我们服务的僵尸网络滥用。
下表列出了 IP 地址、日期和时间,可以帮助您关联滥用活动的来源。时间戳是我们日志中的近似值。事件的实际时间取决于匹配的签名。它很可能发生在列出的时间之前、期间和之后。
大致时间范围 (UTC)、IP 地址、原因 2017-04-17 08:22 ~ 2017-04-17 08:52 (UTC)、账户接管尝试次数
攻击流量最有可能针对以下端点之一:
帐户.sonyentertainmentnetwork.com auth.np.ac.playstation.net auth.api.sonyentertainmentnetwork.com auth.api.np.ac.playstation.net
我们网络上的这些端点由 Geo DNS 解析,因此它们解析的 IP 地址将取决于原始 IP 地址。
目标端口将是 TCP 443。
请尽快采取必要措施纠正上述 IP 地址的恶意活动,以避免进一步造成干扰。如果我们将任何这些 IP 地址从黑名单中删除,并且检测到后续滥用活动,则该 IP 地址将立即再次被列入黑名单。
感谢您及时关注此事。如果您需要帮助或其他信息,请联系[电子邮件保护]并包含有问题的 IP 地址。
通常我可以简单地解析他们的 DNS 并在 iptables 中阻止他们的 IP,这样违规用户就无法连接到他们的 API,但是他们提到他们正在使用 GEO DNS,这使得很难精确定位他们的所有 IP,因为你必须从世界各地解析他们的 DNS 才能获得它们(即使这样,如果你拥有它们全部,也只是一个猜测)。
我还有其他选择吗?可以阻止上述具有 GEO DNS 的主机名吗?
答案1
正如索尼所提到的那样,对地理分布的服务进行防火墙保护很可能是一项不可能完成的任务 - 他们使用地理解析的 DNS(大多数拥有全球基础设施的大型组织都这样做)将客户引导到距离他们最近的端点。
我的建议是找出哪些客户端正在将流量导向这些端点,并阻止它们。无论是否免费,任何服务都不应容忍滥用。
答案2
提供免费 VPN 服务(可能不检查用户)往往会引发此类问题。总体而言,Sony Interactive Entertainment LLC 可能不是唯一的受害者,但他们很善良地告知了您这个问题。如果您只是想为他们解决问题,他们已经采取了足够的措施来阻止您的 IP。
如果你关心你的服务的声誉和你的 IP/IP 封锁,你应该尝试防止大规模滥用。由于你的服务器没有受到损害,你可以使用它本身来监控流量。有几个开源入侵检测工具例如呼噜,苏里卡塔和入侵检测系统. 另一种选择是统一威胁管理设备在您的服务器和互联网之间建立 UTM,自动阻止恶意连接。无论如何,这些工具不仅可以保护您免受野蛮互联网的侵害,还可以保护互联网免受通过您的服务发生的恶意活动的侵害。