Многие знают, что GeoIP - это база IP адресов с принадлежностью к местоположению. Таким образом, по IP адресу легко понять из какой страны или города произошел вход на сайт. Чем удобен GeoIP - для блокировки подключений из тех стран, откуда такие подключения нужно заблокировать или если из этих стран идут атаки на сервера.
По большому счету обмануть GeoIP при прямом подключении нельзя, но как выяснилось можно обмануть систему.
Сегодня мы столкнулись в необычной атакой на оборудовании одного из наших партнеров, где как раз была включена фильтрация трафика по GeoIP. При этом база GeoIP актуальная. Согласно настройкам любые подключения не из России заблокированы по умолчанию. При этом атака шла из сети, помеченной как российская.
При детальном разборе было обнаружено, что глобальный сегмент сети принадлежит Голландской RIPE, которые раздают подсети на нашем континенте, а локальный сегмент, 146.70.52.0/24, помеченный как российская подсеть, принадлежит румынскому оператору M247 Europe SRL, расположенному в Бухаресте.
Материнской подсетью при этом является подсеть 146.70.0.0/16, зарегистриорванная так же на M247 Europe SRL.
Как так получилось, что оператор с европейскими IP адресами получил от RIPE для своего сегмента пометку российской подсети - большой вопрос. Видимо, потому же подсеть назвали M247-Moscow, чтобы от RIPE не было лишних вопросов. Подсеть сравнительно молодая, зарегистрирована летом 2021 года, но на фоне того как эта сеть используется, ответ назначения сети один - для атаки на российские сервера. Многие компании в стране заблокировали подключения не из России и пометить сеть как российская - это отличное решение.
В таком случае репутация RIPE под вопросом, т.к. они не могли не знать, что IP адреса выданы Румынскому оператору, что материнская сеть числится за Румынией, когда ставили пометку для малого сегмента как российской подсети. Соответствующий запрос уже был отправлен в RIPE, но к сожалению ответ так и не поступил.
Потому специалистам по безопасности следует внимательнее проверять подключения с российских IP адресов, т.к. они могут быть из сетей, созданных для атак.
