[GTER] Consultando o ASN de vários IPs em massa

Rubens Kuhl rubensk at gmail.com
Sun Feb 8 15:16:46 -02 2009 

Kurt,

Recentemente se rediscutiu aqui na lista o problema de análise de
tráfego sem informações de full-routing, que se resume ao mesmo ponto
que é obter um AS a partir de um IP, mas usando a tabela de roteamento
global ao invés dos RIRs e NIRs (que tem bons motivos para não
publicar ou bloquear volumes altos de pesquisas).

Vide a thread recente em
http://eng.registro.br/pipermail/gter/2009-January/thread.html#21305,
citando ajustes hoje necessários a este script que publiquei em 2006:
http://eng.registro.br/pipermail/gter/2006-February/009969.html


Rubens


2009/2/8 Kurt Kraut <listas at kurtkraut.net>:
> Aloha,
>
> Eu estou tentando desenvolver uma forma de obter o ASN de vários IPs
> em shell scripting. Tive essa idéia ao aderir ao pessoal da blacklist
> de IPs Dronebl.org pois, seria interessante para relatar ao e-mail de
> abuse se pudéssemos agregar todos os IPs de um mesmo AS para relatar
> num e-mail só.
>
> Porém, vi que poderia ter outros usos a coleta de tal informação em
> massa: poderia ser uma informação adicional [0] na hora de se cogitar
> conexão com um PTTMetro ou PTT-R. Pensei em coletar os IPs que
> utilizaram meus serviços a partir de log de httpd, dns, ftp, imap etc
> para fazer as consultas de WHOIS. Infelizmente, não tem sido tão fácil
> assim.
>
> Quando faço consultas no registro.br para IPs brasileiros, obtenho
> facilmente o AS:
>
>
> kurt at adnserv:~$ whois 200.199.201.182
> (...)
> inetnum:       200.199.192/18
> asn:           AS8167
> ID abusos:     BTA17
> entidade:      Brasil Telecom S/A - Filial Distrito Federal
> documento:     076.535.764/0326-90
>
>
> Ou quando é um IP da região de RIPE.NET:
>
>
> kurt at adnserv:~$ whois 193.0.19.25
> (...)
> route:          193.0.18.0/23
> descr:          RIPE-NCC
> origin:         AS3333
> mnt-by:         RIPE-NCC-MNT
>
>
> Um grep por 'asn:' ou 'origin:' nesses dois casos já me traria a
> informação que desejo. Mas isso não se aplica a IPs das regiões da
> AfriNIC (ex: 196.216.2.1) e da APNIC (ex: 202.12.29.20). Nas consultas
> ao servidor WHOIS deles não há o output do ASN. Então faço algumas
> perguntas:
>
> 1) Existe alguma forma de obter um ASN de um IP sem ser pela consulta do WHOIS ?
> 2) Vocês conhecem alguém que esteja fazendo um trabalho semelhante ?
> 3) Como posso obter o ASN de um IP das regiões Afrinic e APNIC ?
> 4) Estou bloqueado no whois.registro.br por flood, mesmo tendo feito
> uma consulta por segundo apenas. Alguma sugestão além de aumentar o
> delay entre uma consulta e outra ?
>
>
> Agradeço desde já a atenção de vocês,
>
>
> Kurt Kraut (listas at kurtkraut.net)
>
>
>
> [0] Informação adicional porém, não definitva.
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list