Un scanneur SSH persistant ne lâche pas. Un relais ouvert continue de marteler le formulaire de contact d’un client. Une pile d’échecs d’authentification remonte tous à un /24 qu’on n’a jamais vu. La solution est rarement d’ajouter une autre règle de pare-feu — quand on en est à écrire des règles pour des adresses individuelles, c’est déjà perdu. La solution est de trouver l’opérateur réseau responsable de la plage et d’escalader. L’outil IP WHOIS & ASN de PortJar dit exactement à qui écrire, en une requête.
Ce que fait l’outil
Il lance une requête WHOIS contre le registre internet régional (ARIN, RIPE, APNIC, LACNIC, AfriNIC) pour l’adresse, extrait la plage d’allocation, l’organisation assignée et le courriel de contact abus, et associe ça à la propriété ASN de Team Cymru. La sortie répond à « qui a alloué ce bloc IP, à qui, et quel système autonome porte son trafic » — soit le niveau auquel les signalements d’abus, les demandes de retrait et les escalades BGP se traitent.
Comment l’utiliser
Ouvrez portjar.com/tools/ip-whois, collez l’adresse fautive, et soumettez. L’outil retourne le registre et l’ASN côte à côte. La boîte abuse-mailbox (ou OrgAbuseEmail / bloc irt: selon le registre) est l’adresse à qui écrire. L’ASN offre un repli : si le courriel d’abus rebondit ou reste sans réponse, les relations de peering en amont de cet AS sont publiques et permettent d’escalader.
Quand l’utiliser
- Rédiger un signalement d’abus qui ne soit pas du pourriel. Les bureaux d’abus chez les hébergeurs et les FAI ignorent le courriel qui n’inclut pas l’IP fautive, un horodatage avec fuseau horaire, le service touché et des extraits de journaux. IP WHOIS vous donne le bon destinataire pour que le signalement ne moisisse pas dans une boîte
info@générique. - Reconnaître un hébergeur hostile. Certains réseaux sont reconnus pour abriter des scanneurs et des opérations de bourrage d’identifiants. Voir le même ASN revenir dans vos listes de blocage est un signal pour envisager de bloquer tout l’AS au périmètre plutôt que de jouer à la taupe avec des /24 individuels — l’outil ASN Lookup de PortJar fournit la liste de préfixes à utiliser.
- Vérifier qu’un client est bien propriétaire d’une adresse. Un client dit « autorise 22.33.44.55 — c’est notre bureau ». WHOIS dit si cette adresse est allouée à son organisation, au lot de son FAI, ou à un réseau sans rapport — soit la différence entre une autorisation durable et une qui se brise au prochain renouvellement DHCP.
- Triage d’un trafic d’un « scanneur » qui s’avère un projet de recherche légitime. Des réseaux comme Censys, Shodan, BinaryEdge et certaines équipes universitaires de sécurité sont documentés dans WHOIS avec un contact de recherche explicite. Les reconnaître évite de bloquer une infrastructure dont la communauté de sécurité dépend.
- Tracer l’amont derrière un DDoS ou une sonde soutenue. Quand il faut escalader au-delà de l’hébergeur immédiat, le registre nomme l’allocation parente ; l’ASN nomme le transporteur immédiat ; ensemble ils donnent deux pistes pour trouver un humain.
Quoi faire du résultat
Le registre WHOIS reflète l’allocation, pas le locataire actuel. Un gros hébergeur peut s’être vu attribuer un /16 par ARIN, puis sous-louer des /28 à des milliers de clients — WHOIS nommera l’hébergeur, pas le client. C’est correct : le contact abus chez l’hébergeur est la bonne piste d’escalade, parce qu’il a la relation contractuelle avec le locataire réel et la capacité opérationnelle de le suspendre. Lisez les dates created et last-modified pour confirmer que l’allocation est courante ; de très vieux enregistrements nomment parfois des organisations entretemps acquises ou dissoutes. Quand WHOIS et l’ASN ne concordent pas sur qui est « responsable » — par exemple, une adresse allouée à un petit FAI mais annoncée par un grand transitaire — les deux sont corrects, et votre signalement d’abus doit aller au FAI, pas au transitaire.
Pour les environnements où les enquêtes d’IP source doivent réalimenter la politique pare-feu, les listes d’autorisations et les cahiers de procédures d’abus, Stack Harbor tisse ces vérifications dans le soutien et supervision.