Ricerca di feed di indirizzi IP botnet per la protezione da DDoS

13

Vorrei ottenere un feed live degli indirizzi IP della botnet forniti da un servizio e bloccarli in determinate condizioni. Preferibilmente basato sulla comunità / open source ma aperto a guardare anche a quelli commerciali. Finora mi sono imbattuto in dshield (Internet Storm Center) e i-blocklist. Quali sono gli altri che posso considerare che tu abbia usato e trovato utile?

L'obiettivo principale è prevenire contro DDoS. Essere in grado di bloccare TOR e proxy anonimi tramite il feed sarà anche bello.

    
posta shavian 01.08.2011 - 15:06
fonte

4 risposte

11

Immagino che qualcosa dovrebbe essere notato sulla botnet e DDoS.

L'interesse principale del sistema distribuito della botnet è che non è possibile identificare un bot da un vero client. Pensa in questo modo:

Scenario

Qualcuno infetta molti computer inviando un virus. Ogni utente ingannato ora fa parte della cosiddetta botnet. Supponiamo che tu abbia 100M bot.

Conseguenze

Utilizzo dell'indirizzo IP

Questo scenario implica che gli indirizzi IP dei robot hanno indirizzi IP dinamici o statici in base alla loro politica ISP. Quindi la raccolta di indirizzi IP è inutile. Presto o tardi, la piscina sarà rinnovata.

Rete distribuita e identificazione

DDoS funziona in questo modo: chiederai a ciascun bot di connettersi a un server. Domanda: come fai a sapere se stanno tentando di accedere al tuo server per uno scopo legittimo o semplicemente per saturare il tuo pool di connessioni?

Dato questo, poiché non è possibile identificare se un client è parte o meno dell'attacco, non è possibile compilare un elenco affidabile di IP della rete distribuita.

Conclusione

Sebbene non sia impossibile, penso che la prevenzione degli attacchi DDoS via IP non sia possibile a causa delle due sfide esposte: uso di un identificatore reale (indirizzo IP) e identificazione dei bot.

Forse se un gruppo di server segnalasse attacchi su live a un server master, è più che probabile che il successivo attacco da quella serie di robot avrà indirizzi IP diversi. Inoltre, non puoi negare l'accesso al tuo sito se un IP compare una volta nella lista di un indirizzo che ha tentato di accedere a un server che sa di aver subito un attacco DDoS, perché vieterai i client legittimi che non hanno nulla a che fare con l'attacco.

A proposito, non ho mai sentito di una tale lista.

I nodi di uscita di rete TOR sono più facilmente identificabili. Alcune risorse come link

    
risposta data 01.08.2011 - 15:41
fonte
5

Lo Spamhaus XBL ha qualcosa di simile a quello che stai cercando?

link

The Spamhaus Exploits Block List (XBL) is a realtime database of IP addresses of hijacked PCs infected by illegal 3rd party exploits, including open proxies (HTTP, socks, AnalogX, wingate, etc), worms/viruses with built-in spam engines, and other types of trojan-horse exploits.

È più preoccupato per i mittenti di e-mail di spam, ma forse è un po 'utile.

    
risposta data 03.08.2011 - 21:19
fonte
3

Puoi trovare i link all'elenco dei nodi di uscita TOR con una ricerca rapida su google. Spamhaus XBL è una grande risorsa e probabilmente utilizzerei sinkhole e altre opzioni per bloccare gli attacchi DoS. Ma di recente mi è stato affidato il compito di creare un elenco piuttosto ampio di IP e domini relativi a attività dannose per un altro scopo, che si tratti di botnet, spammer, payload di malware, exploit kit e attacchi DoS. Una buona risorsa di partenza sarebbe la lista di Lenny Zeltser che puoi trovare qui anche se è diventata un po 'datata, molte delle fonti sono ancora vive. link

Alcuni siti Web tentano di raggruppare tutti i domini malevoli e gli ip in elenchi, malwaredomains.com - tira da molte molte fonti, spammer, exploit kit, ecc. emergingthreats.net - Host compromessi noti in formato snort, elenchi della rete aziendale russa e altro.

E poi arrivi alle liste che paghi per farne parte, credo che le reti Arbor ne facciano uscire e le loro sono molte altre liste a pagamento apparentemente efficaci anche se costose. Se lavori per un'azienda o in un settore specifico, puoi trovare gruppi ISAC che condividono informazioni come elenchi di nuove fonti DoS, URL botnet ecc. Purché tu rispetti tutte le regole, noleggi e condividi. Consiglio vivamente di leggere su ISC SIE, puoi trovare maggiori informazioni qui link .

Spero che alcune di queste risorse possano aiutarti nella ricerca di elenchi, ma prenderla da qualcuno che ne mantiene una molto grande ogni giorno, dovresti utilizzare altre risorse per la prevenzione DoS in quanto sono molto più efficaci.

    
risposta data 17.08.2011 - 20:16
fonte
2

In relazione alla risposta di @ M'vy, devi consultare TorDNSEL

"TorDNSEL è un'implementazione del test attivo, elenco di uscita basato su DNS per i nodi di uscita Tor."

    
risposta data 16.03.2012 - 15:03
fonte

Leggi altre domande sui tag