Kde hledat abuse kontakty?

Organizace RIPE NCC je jedním z pěti světových regionálních registrů, jehož hlavním úkolem je přerozdělování adresních bloků, které mu IANA přidělila. V RIPE NCC, stejně jako v řadě dalších podobných internetových organizací, působí několik pracovních skupin. Ty se věnují například správě DNS, RIPE NCC databázi nebo Open Source projektům. Jednou z těchto skupin je také Anti-abuse working group, která v únoru 2016 zveřejnila seznam užitečných kontaktů pro všechny, kteří se nějakým způsobem zabývají řešením incidentů nebo zneužíváním IP adres. Je logické, že ke správě IP adres patří také snaha tomuto zneužívání zabránit.

Poměrně jednoduše a přehledně zpracovaný dokument obsahuje výpis všech známých databází, které obsahují abuse kontakty a odkazují na různé CSIRT/CERT týmy. Konkrétně jde o stručný přehled databází Trusted Introducer, FIRST, CERT/CC, ENISA, CERT.AT, RIPE NCC databáze a OAS. U každé z databází zjistíte, zda poskytuje informace z první ruky, kde je databáze dostupná, kdo má do ní přístup, zda disponuje API rozhraním, kdo databází udržuje a podobně. Například pokud Vás zajímá, pod jaký národní CSIRT spadá adresa 217.31.205.50, stačí do prohlížeče zadat tento řetězec a jednoduše přes databázi týmu CERT.AT zjistíte, do jakého státu adresa patří a pod který národní tým spadá. Tady je výsledek:

abuse_01

Velice zajímavá je část věnovaná abuse kontaktům v RIPE NCC databázi. Ve snaze sjednotit a usnadnit definování adresy, na kterou má byt hlášení incidentů zasíláno, zavedl RIPE NCC v roce 2012 povinnost uvádět abuse kontakty pro každý objekt v registru (inetnum, inet6num a aut-num). Právě tento kontakt je preferovaným kontaktem pro hlášení incidentů. Realitou však je, že mnoho providerů tento kontakt buď nemá zavedený nebo jej má zavedený jen „pro forma“.

Ve stejném čase byl uveden objekt IRT (incident response team), avšak tento objekt se v databázi moc neujal. Pokud se databáze RIPE NCC dotazujete z příkazové řádky, vyhledávaní abuse kontaktu si ulehčíte použitím flagu -b. Využít ale můžete také webovou aplikaci a pokud Vás abuse kontakty zajímají spíše v strojově zpracovatelném formátu (.json), sáhněte po Abuse Contact Finderu.

Pokud budete do RIPE NCC zasílat větší počet dotazů, měli byste mít na paměti limity, které jsou pro jednotlivé dotazy dané. Může se totiž stát, že IP adresa, ze které jsou dotazy zasílané, bude dočasně zablokována. V případě, že se bude problém opakovat, může dojít ze strany RIPE NCC i k zablokování trvalému. Další neméně zajímavá část dokumentu se věnuje různým možnostem překladu IP adres na ASN.

Výčet nástrojů a databází není určitě úplný, ale po nějakém čase je to opět dobrý souhrnný dokument pro všechny, kdo se incident handlingem nějakým způsobem zabývají. Doporučuji ho však i těm, kteří si myslí, že jsou v dané problematice zkušení. Pokud k dokumentu máte nějaké připomínky, rádi je sesbíráme a zašleme kolegům do RIPE NCC.

Autor:

Zanechte komentář