Re: [FRnOG] [TECH] Résolution d'un nombre important d'adresses IP
Bonjour, J'ai eu a travailler sur exactement le même type de besoin. En ce qui concerne la géolocalisation des adresses IP, je tiens à préciser que bon nombres des champs country dans les bases des RIR ne reflètent pas la réelle position dans le monde des serveurs utilisant ces adresses (exemple typique Google). Des bases comme WorldIP http://www.wipmania.com/ (API disponible) sont une bonne alternative. Cependant les RIR reste une bonne source d'identification des adresses, tout dépend jusqu'à quel niveau de précision vous souhaitez aller (CDN, client final). Pour interroger les RIR un fichier sur potaroo peut être utile : http://bgp.potaroo.net/ipv4-stats/prefixes_rir_pool.txt il agrège la correspondance subnet - RIR. Aussi chaque RIR dispose maintenant d'une API ou au moins l'accès en ftp à leur base de données. https://apps.db.ripe.net/whois/search.json?query-string=X.X.X.Xsource=ripehttps://apps.db.ripe.net/whois/search.json?query-string=62.39.29.0source=ripe Voilà ! Un peu de dev et le tour est joué! Cordialement, Bastien Le 18 septembre 2012 22:59, Alexis Savin alexis.sa...@gmail.com a écrit : Bonjour, Un truc vraiment tout simple qui répond bien au besoin exprimé : GeoIP-1.4.8-1.1.fc16.x86_64.rpm. Usage: geoiplookup [-d custom_dir] [-f custom_file] [-v] [-i] ipaddress|hostname Sinon http://search.cpan.org/~borisz/Geo-IP-1.40/lib/Geo/IP.pm pour ceux qui apprécient Perl. Ou bien encore http://www.team-cymru.org/Services/ip-to-asn.html qui fournit pas mal de services utiles. Bref, il y a du choix ;-) Cordialement. 2012/9/18 XF theiemsolut...@gmail.com Merci pour ces quelques réponses J'ai oublié de préciser que nous privilégions les solutions non payantes (oui mon SOC est radin ;-) Je vais regarder du côté des RIR pour parfaire la base de donnée existante Cordialement, Xavier -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Solarus Envoyé : mardi 18 septembre 2012 20:13 À : frnog@frnog.org Objet : Re: [FRnOG] [TECH] Résolution d'un nombre important d'adresses IP Le 18/09/2012 19:57, XF a écrit : L’inconvénient c’est que la base de donnée est statique et nous nous retrouvons avec pas mal d’adresses non résolues. Si ce n'est que ça, vous pouvez alimenter votre base de données avec les infos whois fournies par les RIR. Vous trouverez ainsi à quel opérateur et donc quel pays est attribué un préfixe. La plupart du temps c'est beaucoup plus à jour que les bases GeoIP. (exemple des AS français détectés comme russes ou américains) My 2 cents. Solarus. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Alexis Savin Ingénieur Systèmes/Réseaux/Sécurité --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Résolution d'un nombre important d'adresses IP
Bonjour, Beaucoup de solutions intéressantes auxquelles je n'avais pas pensé. Je pense essayer les différentes solutions évoquées afin de comparer les résultats obtenus. Merci à tous, je reviendrai vers vous pour un bilan de la solution adoptée si ca en intéresse quelques uns(unes) ;-) Cordialement, Xavier. -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Bastien Pistre Envoyé : mercredi 19 septembre 2012 10:47 À : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Résolution d'un nombre important d'adresses IP Bonjour, J'ai eu a travailler sur exactement le même type de besoin. En ce qui concerne la géolocalisation des adresses IP, je tiens à préciser que bon nombres des champs country dans les bases des RIR ne reflètent pas la réelle position dans le monde des serveurs utilisant ces adresses (exemple typique Google). Des bases comme WorldIP http://www.wipmania.com/ (API disponible) sont une bonne alternative. Cependant les RIR reste une bonne source d'identification des adresses, tout dépend jusqu'à quel niveau de précision vous souhaitez aller (CDN, client final). Pour interroger les RIR un fichier sur potaroo peut être utile : http://bgp.potaroo.net/ipv4-stats/prefixes_rir_pool.txt il agrège la correspondance subnet - RIR. Aussi chaque RIR dispose maintenant d'une API ou au moins l'accès en ftp à leur base de données. https://apps.db.ripe.net/whois/search.json?query-string=X.X.X.Xsource=ripe https://apps.db.ripe.net/whois/search.json?query-string=62.39.29.0source=ri pe Voilà ! Un peu de dev et le tour est joué! Cordialement, Bastien Le 18 septembre 2012 22:59, Alexis Savin alexis.sa...@gmail.com a écrit : Bonjour, Un truc vraiment tout simple qui répond bien au besoin exprimé : GeoIP-1.4.8-1.1.fc16.x86_64.rpm. Usage: geoiplookup [-d custom_dir] [-f custom_file] [-v] [-i] ipaddress|hostname Sinon http://search.cpan.org/~borisz/Geo-IP-1.40/lib/Geo/IP.pm pour ceux qui apprécient Perl. Ou bien encore http://www.team-cymru.org/Services/ip-to-asn.html qui fournit pas mal de services utiles. Bref, il y a du choix ;-) Cordialement. 2012/9/18 XF theiemsolut...@gmail.com Merci pour ces quelques réponses J'ai oublié de préciser que nous privilégions les solutions non payantes (oui mon SOC est radin ;-) Je vais regarder du côté des RIR pour parfaire la base de donnée existante Cordialement, Xavier -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Solarus Envoyé : mardi 18 septembre 2012 20:13 À : frnog@frnog.org Objet : Re: [FRnOG] [TECH] Résolution d'un nombre important d'adresses IP Le 18/09/2012 19:57, XF a écrit : Linconvénient cest que la base de donnée est statique et nous nous retrouvons avec pas mal dadresses non résolues. Si ce n'est que ça, vous pouvez alimenter votre base de données avec les infos whois fournies par les RIR. Vous trouverez ainsi à quel opérateur et donc quel pays est attribué un préfixe. La plupart du temps c'est beaucoup plus à jour que les bases GeoIP. (exemple des AS français détectés comme russes ou américains) My 2 cents. Solarus. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Alexis Savin Ingénieur Systèmes/Réseaux/Sécurité --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Résolution d'un nombre important d'adresses IP
Le 18 septembre 2012 19:57, XF theiemsolut...@gmail.com a écrit : Bonjour tout le monde, Dans le cadre de notre activité, nous devons résoudre un nombre important d’ adresses IP V4 (environ 10 000) chaque mois qui sont issues de rapports générés via un outil de type SIEM. Bonsoir, MaxMind propose ce service (GeoIP Country Database). Il y a possibilité de télécharger la base de donnée, ou d'interroger leur API en live ($ 20 les 200k requêtes) : http://www.maxmind.com/app/country Cordialement, -- Jonathan Leroy --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Résolution d'un nombre important d'adresses IP
Maxmind geoip ? XF theiemsolut...@gmail.com a écrit : Bonjour tout le monde, Dans le cadre de notre activité, nous devons résoudre un nombre important d adresses IP V4 (environ 10 000) chaque mois qui sont issues de rapports générés via un outil de type SIEM. Lobjectif est de trouver le pays dorigine de ces adresse IP à des fins statistiques. A lheure actuelle, nous utilisons un fichier Excel qui traduit les adresses IP en base 10 et les fait correspondre avec une base de donnée pour trouver le pays dorigine. Linconvénient cest que la base de donnée est statique et nous nous retrouvons avec pas mal dadresses non résolues. Une deuxième solution à été dutiliser le logiciel IPNetinfo de Nirsoft, mais là aussi, nous sommes limités au niveau du nombre de requêtes RIPE (le seuil journalier est de 5 000 adresses si je me souvient bien), ce qui nous oblige à réaliser lopération en plusieurs fois . Connaitriez-vous un outil plus performant ou une meilleure technique qui permette de résoudre un tel nombre dadresse IP ? Merci pour vos éclairages et vos conseils Cordialement, Xavier. --- Liste de diffusion du FRnOG http://www.frnog.org/ Fabien V. Twitter : @beufanet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Résolution d'un nombre important d'adresses IP
Le 18/09/2012 19:57, XF a écrit : L’inconvénient c’est que la base de donnée est statique et nous nous retrouvons avec pas mal d’adresses non résolues. Si ce n'est que ça, vous pouvez alimenter votre base de données avec les infos whois fournies par les RIR. Vous trouverez ainsi à quel opérateur et donc quel pays est attribué un préfixe. La plupart du temps c'est beaucoup plus à jour que les bases GeoIP. (exemple des AS français détectés comme russes ou américains) My 2 cents. Solarus. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Résolution d'un nombre important d'adresses IP
Merci pour ces quelques réponses J'ai oublié de préciser que nous privilégions les solutions non payantes (oui mon SOC est radin ;-) Je vais regarder du côté des RIR pour parfaire la base de donnée existante Cordialement, Xavier -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Solarus Envoyé : mardi 18 septembre 2012 20:13 À : frnog@frnog.org Objet : Re: [FRnOG] [TECH] Résolution d'un nombre important d'adresses IP Le 18/09/2012 19:57, XF a écrit : Linconvénient cest que la base de donnée est statique et nous nous retrouvons avec pas mal dadresses non résolues. Si ce n'est que ça, vous pouvez alimenter votre base de données avec les infos whois fournies par les RIR. Vous trouverez ainsi à quel opérateur et donc quel pays est attribué un préfixe. La plupart du temps c'est beaucoup plus à jour que les bases GeoIP. (exemple des AS français détectés comme russes ou américains) My 2 cents. Solarus. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Résolution d'un nombre important d'adresses IP
Bonjour, Un truc vraiment tout simple qui répond bien au besoin exprimé : GeoIP-1.4.8-1.1.fc16.x86_64.rpm. Usage: geoiplookup [-d custom_dir] [-f custom_file] [-v] [-i] ipaddress|hostname Sinon http://search.cpan.org/~borisz/Geo-IP-1.40/lib/Geo/IP.pm pour ceux qui apprécient Perl. Ou bien encore http://www.team-cymru.org/Services/ip-to-asn.html qui fournit pas mal de services utiles. Bref, il y a du choix ;-) Cordialement. 2012/9/18 XF theiemsolut...@gmail.com Merci pour ces quelques réponses J'ai oublié de préciser que nous privilégions les solutions non payantes (oui mon SOC est radin ;-) Je vais regarder du côté des RIR pour parfaire la base de donnée existante Cordialement, Xavier -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Solarus Envoyé : mardi 18 septembre 2012 20:13 À : frnog@frnog.org Objet : Re: [FRnOG] [TECH] Résolution d'un nombre important d'adresses IP Le 18/09/2012 19:57, XF a écrit : L’inconvénient c’est que la base de donnée est statique et nous nous retrouvons avec pas mal d’adresses non résolues. Si ce n'est que ça, vous pouvez alimenter votre base de données avec les infos whois fournies par les RIR. Vous trouverez ainsi à quel opérateur et donc quel pays est attribué un préfixe. La plupart du temps c'est beaucoup plus à jour que les bases GeoIP. (exemple des AS français détectés comme russes ou américains) My 2 cents. Solarus. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Alexis Savin Ingénieur Systèmes/Réseaux/Sécurité --- Liste de diffusion du FRnOG http://www.frnog.org/
