Suche eine kostenfreie Lösung, um von einer IP den ASN-Type zu ermitteln ... - php.de

X

toosten

Dabei seit: 15.10.2018

Beiträge: 163
#1

Suche eine kostenfreie Lösung, um von einer IP den ASN-Type zu ermitteln ...

11.04.2025, 17:48
Zuletzt geändert von toosten; 11.04.2025, 18:00.

Ich möchte die IP zwischen Hoster & ISP unterscheiden können.

Danke.

P.S. aktuell reicht mir IPv4

In den Antworten der Whoisservers habe ich nichts eindeutiges gefunden.
Stichworte: -
reddighamburg

Dabei seit: 19.08.2018

Beiträge: 230
#2

11.04.2025, 22:22

https://github.com/ipverse/asn-ip/tree/master/as
Ist sehr gepflegt und aktuell und die genutze Methode ist solide

Ein kostenloser Webservice (API), um mal eben schnell eine IP Adresse zu checken, ist mir nicht bekannt.
Es spricht aber nichts dagegen, die statischen Daten für einen eigenen (internen) Dienst zu verwenden.

Viele Grüße

Good programming is 5% knowledge, 5% skill, 20% caffeine, 30% attention to detail and 40% RTFM

Kapazitäten frei: Einfach per PN ein Angebot einholen.
Kommentar
toosten

Dabei seit: 15.10.2018

Beiträge: 163
#3

12.04.2025, 07:59

Danke, an diese Daten komme ich auch per whois, aber irgendwie bin ich zu blöd den Parameter zur Unterscheidung von Hoster & ISP zu entdecken.

Bsp:
https://github.com/ipverse/asn-ip/bl...aggregated.txt

Bei ipinfo kann ich das gut erkennen, will deren Seite aber nicht per php nutzen

Bsp:
https://ipinfo.io/179.61.242.100 - ASN type Hosting
Kommentar
tomBuilder

Dabei seit: 22.05.2017

Beiträge: 4902
#4

12.04.2025, 15:06

Zitat von toosten Beitrag anzeigen

Ich möchte die IP zwischen Hoster & ISP unterscheiden können.

Danke.

P.S. aktuell reicht mir IPv4

In den Antworten der Whoisservers habe ich nichts eindeutiges gefunden.

mal abgesehen vom unterforum,

ich verstehe das hoster vs isp dinges nicht...
ein ip ist ein rouiter aufm weg, der hoster der endpunbkt ?
die webseite deines ips ist aber kein hoster ?
Kommentar
toosten

Dabei seit: 15.10.2018

Beiträge: 163
#5

12.04.2025, 16:59

Zitat von tomBuilder Beitrag anzeigen

mal abgesehen vom unterforum,

ich verstehe das hoster vs isp dinges nicht...
ein ip ist ein rouiter aufm weg, der hoster der endpunbkt ?
die webseite deines ips ist aber kein hoster ?

IPS - Internet Service Provider - meist dynamische User pro IP
Hoster - Rechenzentrum

Sicherlich kann der IPS-User auch einen Server nutzen, aber der Hoster ist definitiv ein Server und meistens auch mit fester IP.
Kommentar
tomBuilder

Dabei seit: 22.05.2017

Beiträge: 4902
#6

12.04.2025, 19:13

hm, wenn du magst kannst du ja sagen was wie und warum,
was mich mehr interssiert, wie weit bist du mit PTR Records gekoimmen ?
Kommentar
reddighamburg

Dabei seit: 19.08.2018

Beiträge: 230
#7

12.04.2025, 20:34

Zitat von toosten Beitrag anzeigen

irgendwie bin ich zu blöd den Parameter zur Unterscheidung von Hoster & ISP zu entdecken.

Bist du nicht. Es gibt eine solche Unterscheidung.im ASN Type nämlich nicht.
Es gibt lediglich eine Unterscheidung zwischen public und private, die dich hier aber nicht weiterführen wird.
Wofür ein IP Netzt tatsächlich verwendet wird, liegt beim Betreiber.

Die von dir genannte Seite wird die Daten aus verschiedenen Quellen aggregieren nehme ich an.

Der Ansatz über PTR Records zu gehen, ist interessant, aber löst das Problem nicht als einziger. Auch für die dynamisch zugewiesenen IPs existieren üblicherweise PTR records.

Man müsste wohl noch andere Merkmale der Zone, in der sich der Host befindet, mit heranziehen.
Es gibt sicherlich Merkmale, die einen Host eindeutig als Server qualifizieren. Es gibt aber kaum Merkmale, die ihn als Server ausschließen.

Good programming is 5% knowledge, 5% skill, 20% caffeine, 30% attention to detail and 40% RTFM

Kapazitäten frei: Einfach per PN ein Angebot einholen.
Kommentar
toosten

Dabei seit: 15.10.2018

Beiträge: 163
#8

13.04.2025, 10:14

Zitat von tomBuilder Beitrag anzeigen

hm, wenn du magst kannst du ja sagen was wie und warum,
was mich mehr interssiert, wie weit bist du mit PTR Records gekoimmen ?

Aktuell nutze ich PTR Record und den netname aus whois:

PHP-Code:

$hoster= false; // bekannte Hoster per Netname ermitteln $a= Array( 'GOOGL-2', 'AT-88-Z', 'GOOGLE-CLOUD', 'AMAZON', 'DigitalOcean', 'MSFT', 'GO-DADDY-COM', 'HOST', 'RELIANCEJIO', 'LINODE', 'LACNIC', 'NETLAYERS', '3XKTECH', 'xK_Tech', 'CLOUD', 'ThreexK_Tech_GmbH', 'BITERIKA', 'DO-13', 'HETZNER', 'traffictransitsolution', 'ANTISPAM', 'ALISOFT', 'VPS', 'AL-3', 'ORACLE', '-SG', 'InfoMove', 'VPN' ); foreach( $a as $str){ if( false !== stripos( $netname, $str)){ $hoster= true; break; } } if( !$hoster){ // beannte Hoster per Hostname ermitteln $a= Array( 'server', 'host', 'HOSTING', 'aws', 'content', 'spectrum', 'cloud', 'scan.', 'census.', 'datapacket.', 'virtua.', '.myvzw.com' , 'baremetal', 'dedicated', 'dcenter', 'colocrossing', 'cdn77', 'ovh', 'stretchoid', 'sprious', 'usercontent', 'relays', 'fbsv.net' , 'layer', 'gthost', 'srv', 'vps.', '.vps' , 'tor-exit.', 'torexit', 'TOR-EXIT-', ); foreach( $a as $str){ if( false !== stripos( $hostname, $str)){ $hoster= true; break; } } }

Allerdings gibt es eine Vielzahl von IPs die keinen PTR Record liefern und auch keinen auswertbaren netname.
Kommentar
toosten

Dabei seit: 15.10.2018

Beiträge: 163
#9

13.04.2025, 10:55

Zitat von reddighamburg Beitrag anzeigen

Bist du nicht. Es gibt eine solche Unterscheidung.im ASN Type nämlich nicht.
Wofür ein IP Netzt tatsächlich verwendet wird, liegt beim Betreiber.

OK, schade.

Sicherlich kann jede IP für alles genutzt werden, aber inzwischen werden Hoster genutzt, um andere Systeme zu penetrieren.

Aktuell ist es bei uns so, das IPs die gewisse Dinge versuchen für eine Zeit lang geblockt werden.
Bei den Hostern werden inzwischen der ganze letzte IPv4-Block geblockt.
Kommentar
tomBuilder

Dabei seit: 22.05.2017

Beiträge: 4902
#10

13.04.2025, 16:49

Zitat von toosten Beitrag anzeigen

Aktuell nutze ich PTR Record und den netname aus whois:
´(...)
Allerdings gibt es eine Vielzahl von IPs die keinen PTR Record liefern und auch keinen auswertbaren netname.

ich würde die fragestellung anders angehen.

1.) du kannst nur mit einer wahscheinlichkeit angeben, ob das ein hoster ist oder jemand zuhausse / im cafe/ amsmartpfone etc sitzt.
2.) du kannst unmöglich alle oder isp weltweit immer aktuell aufm, schirm haben

3 du hast verschedene infomartionen
- ptr (kein, krittip, halbkriptrtisch, eindeutig (auch das kann ein irrtum sein und ich setze mir example.com irgendwohin ... )
- die rechner in der unmittelaben umgebung
- wer den dns wie verwaltet bzw den nameserever, alle records der domian etc
-(..)

ich hoffe das hilft dir ein wenig
Kommentar
toosten

Dabei seit: 15.10.2018

Beiträge: 163
#11

13.04.2025, 19:04
Zuletzt geändert von toosten; 13.04.2025, 19:09.

Zitat von tomBuilder Beitrag anzeigen

1.) du kannst nur mit einer wahscheinlichkeit angeben, ob das ein hoster ist oder jemand zuhausse / im cafe/ amsmartpfone etc sitzt.
2.) du kannst unmöglich alle oder isp weltweit immer aktuell aufm, schirm haben

3 du hast verschedene infomartionen
- ptr (kein, krittip, halbkriptrtisch, eindeutig (auch das kann ein irrtum sein und ich setze mir example.com irgendwohin ... )
- die rechner in der unmittelaben umgebung
- wer den dns wie verwaltet bzw den nameserever, alle records der domian etc
-(..)

ich hoffe das hilft dir ein wenig

Ich gehe da ein wenig anders heran.
Für unseren Online-Service wollen wir User und Kunden heranziehen, diverse Bots & Co sind für diesen nicht relevant.

D.h. wenn diese Bots & Co sich mit fehlerhaften Anfragen outen, dann kann man bei der Erkennung von Hostern, diese problemlos gleich per Subnetz aussperren, denn die kommen meist kurz nach der Sperrung der einzelnen IP von den Nachbar-IPs ( Erfahrungswert ). Man könnte sicherlich ganze Rechenzentren blockieren, aber das ist auch nicht zielführend.

Wenn Jemand eine IP temporär nutzt um sich unbeliebt zu machen, ist das Ziel diese IP möglichst kurz zu blockieren, aber so lange, daß das Interesse verloren geht.

Ein Bot & Co wird weder Kunde noch ist es für uns oder einen Kunden relevant.

Um es auf den Punkt zu bringen, wieso soll ich CPU-Takte verschwenden oder gar für den Traffic für Nicht-User/Kunden etwas verschwenden oder bezahlen?

Sollen sie doch andere penetrieren.

( Es geht um Reduzierung und nicht um 100% )

Bsp. Wenn jemand nach phpmyadmin sucht und der Hoster AWS ist, was soll mir diese IP langfristig nutzen?
Kommentar
reddighamburg

Dabei seit: 19.08.2018

Beiträge: 230
#12

13.04.2025, 19:56

Du kannst auch einfach mal gegenchecken, ob die anfragende Box selbst auf irgendeinen Port lauscht, der bei Endnutzern üblicherweise zu wäre.

22 (SSH) wäre da mein erster Ansatz.
Irgendwie muss ja der Betreiber auf die Box drauf kommen.
Natürlich kann man das auch umbiegen oder die box gehört zu einem Verbund und ist nur vom LAN erreichbar etc. etc.

Es ist also ebenfalls kein hartes Ausschlusskriterium, aber wenn dieser oder ggf. auch andere bekannte Ports offen sind, ist es mit hoher Wahrscheinlichkeit ein Server.

Natürlich kann auch jemand seinen Rechner Zuhause per SSH erreichbar machen, aber es ist eher ungewöhnlich, dass ein einziger Office- oder Home-Rechner an auf Port 22 von außen erreichbar ist, einfach weil SSH kein Namensbasiertes Routing kennt. Man braucht also für jeden Rechner hinter nem NAT Router einen anderen Port.

Das ganze kannst du auch noch wunderbar mit DNSBLs kombinieren.

Außerdem bietet sich die Suche nach SPF Einträgen in der Zone an. (Kein ISP wird seinen Endnutzern erlauben, direkt mails unter der Zone zu versenden)

Und natürlich kannst du mit der Zeit deine eigene Datenbank aufbauen.

Die ASN Datenbank kann dazu dennoch als Ergänzung dienen, denn sobald du eine IP sicher als Server identifiziert hast, kannst du weitere IPs desselben AS heraussuchen.

Good programming is 5% knowledge, 5% skill, 20% caffeine, 30% attention to detail and 40% RTFM

Kapazitäten frei: Einfach per PN ein Angebot einholen.
Kommentar
toosten

Dabei seit: 15.10.2018

Beiträge: 163
#13

13.04.2025, 21:08

Zitat von reddighamburg Beitrag anzeigen

Du kannst auch einfach mal gegenchecken, ob die anfragende Box selbst auf irgendeinen Port lauscht, der bei Endnutzern üblicherweise zu wäre.
22 (SSH) wäre da mein erster Ansatz.

Ich gehe immer von mir aus, keiner außer meine IP kann den Port 22 unseres Servers sehen, somit ( theoretisch ) ist jeder andere auch dazu in der Lage.

Bin ich eventuell zu Paranoid oder andere zu wenig - ich weis es nicht.

Hoster zu sperren schadet nur zu 100% beim googlebot, aber sonst?
Kommentar
reddighamburg

Dabei seit: 19.08.2018

Beiträge: 230
#14

15.04.2025, 18:56

Wie gesagt wirst du nicht zuverlässig ausschließen können, dass es ein Server ist, aber du kannst zumindest positiv einige Server erkennen.

Wenn 22 offen ist, dann ist es wahrscheinlich ein Server
Wenn 22 zu ist, sagt das gar nichts aus

Das sollte natürlich auch nicht das einzige geprüfte Merkmal sein.

Und natürlich kannst du so auch aus Versehen mal einen Nerd zu Hause false positive als Server erkennen. Der wird sich dann aber wahrscheinlich schon bemerkbar machen.

btw: "keiner außer meine IP"
Welchen Anbieter hast du für feste IP ?

Good programming is 5% knowledge, 5% skill, 20% caffeine, 30% attention to detail and 40% RTFM

Kapazitäten frei: Einfach per PN ein Angebot einholen.
Kommentar
toosten

Dabei seit: 15.10.2018

Beiträge: 163
#15

16.04.2025, 07:41
Zuletzt geändert von toosten; 16.04.2025, 07:45.

Zitat von reddighamburg Beitrag anzeigen

btw: "keiner außer meine IP"
Welchen Anbieter hast du für feste IP ?

Ich nutze die Firewall des Cloudanbieters, damit nur ich auf Port 22 zugreifen kann.

Die IP ist dynamisch, ändert sich nur alle paar Wochen bis Monate.

Eine feste IP hatte ich auch schon überlegt, allerdings kostet diese extra und manchmal will man selbst eine neue.

Zitat von reddighamburg Beitrag anzeigen

Wie gesagt wirst du nicht zuverlässig ausschließen können, dass es ein Server ist, aber du kannst zumindest positiv einige Server erkennen.

Wenn 22 offen ist, dann ist es wahrscheinlich ein Server
Wenn 22 zu ist, sagt das gar nichts aus

Ich hab jetzt drei durch netname oder hostname erkannte geprüft, alle haben keinen offenen Port 22.
Kommentar

Vorherige 1 2 Weiter

Lädt...

X