Buscando feeds de direcciones IP de botnets para proteger contra DDoS

13

Me gustaría recibir una transmisión en vivo de las direcciones IP de botnets enviadas desde un servicio y bloquearlas bajo ciertas condiciones. Preferiblemente basado en la comunidad / código abierto pero abierto a mirar los comerciales dignos también. Hasta ahora me he encontrado con dshield (Internet Storm Center) y i-blocklist. ¿Cuáles son otras que puedo considerar que ha usado y que le han parecido útiles?

El objetivo principal es prevenir contra DDoS. Ser capaz de bloquear TOR y proxies anónimos a través del feed también será bueno.

    
pregunta shavian 01.08.2011 - 15:06
fuente

4 respuestas

11

Supongo que se debe tener en cuenta algo en la red de bots y DDoS.

El principal interés del sistema distribuido de la red de bots es que no puede identificar un bot de un cliente genuino. Piénsalo así:

Escenario

Alguien infecta muchas computadoras enviando un virus. Cada usuario engañado es ahora parte de la llamada botnet. Digamos que tienes 100M bots.

Consecuencias

Uso de la dirección IP

Este escenario implica que las direcciones IP de los bots tienen direcciones IP dinámicas o estáticas dependiendo de su política de ISP. Por lo tanto, recolectar direcciones IP no vale nada. Pronto o después, la piscina será renovada.

Red distribuida e identificación

DDoS funciona de esta manera: le pedirás a cada bot que se conecte a un servidor. Pregunta: ¿Cómo sabe si están intentando acceder a su servidor con un propósito legítimo o simplemente para saturar su conjunto de conexiones?

Dado esto, como no puede identificar si un cliente es parte del ataque o no, no puede compilar una lista confiable de IP de la red distribuida.

Conclusión

Aunque no es imposible, creo que la prevención de ataques DDoS por IP no es posible debido a los dos desafíos expuestos: el uso de un identificador real (dirección IP) y la identificación de bots.

Tal vez si un grupo de servidores informara ataques en vivo a un servidor maestro, es más que probable que el próximo ataque de ese conjunto de robots tenga diferentes direcciones IP. Además, no puede negar el acceso a su sitio si una dirección IP apareció una vez en la lista de una dirección que intentó acceder a un servidor que sabe que sufrió un ataque DDoS, porque prohibirá los clientes legítimos que no tienen nada que ver con el ataque.

Por cierto, nunca escuché de tal lista.

El nodo de salida de red TOR se identifica más fácilmente. Algunos recursos como enlace

    
respondido por el M'vy 01.08.2011 - 15:41
fuente
5

¿El Spamhaus XBL es algo así como lo que estás buscando?

enlace

  

La Spamhaus Exploits Block List (XBL) es una base de datos en tiempo real de las direcciones IP de las PC secuestradas infectadas por exploits de terceros ilegales, incluidos los proxies abiertos (HTTP, calcetines, AnalogX, wingate, etc.), gusanos / virus con incorporado motores de spam, y otros tipos de explotaciones de caballos de Troya.

Está más preocupado por los remitentes de correos electrónicos no deseados, pero tal vez sea de alguna utilidad.

    
respondido por el DanBeale 03.08.2011 - 21:19
fuente
3

Puede encontrar enlaces a la lista de nodos de salida TOR con una búsqueda rápida en Google. El Spamhaus XBL es un gran recurso y probablemente utilizaría sumideros y otras opciones para bloquear los ataques DoS. Pero como recientemente me encargaron la creación de una lista bastante grande de ip y dominios relacionados con la actividad maliciosa para otro propósito, ya sean redes de bots, spammers, cargas de malware, kits de explotación y ataques DoS. Un buen recurso para comenzar sería la lista de Lenny Zeltser que puede encontrar aquí, aunque se ha vuelto un poco anticuada, muchas de las fuentes todavía están vivas. enlace

Algunos sitios web intentan agrupar todos los dominios maliciosos e ip en listas, malwaredomains.com - extrae de muchas fuentes, spammers, kits de explotación, etc. Emergerthreats.net: hosts comprometidos conocidos en formato snort, listas de Russian Business Network y más.

Y luego llegas a las listas en las que pagas para formar parte, creo que Arbor Networks se lanza una y hay muchas otras listas pagadas que aparentemente son efectivas aunque costosas. Si está trabajando para una empresa o en una industria específica, puede encontrar grupos de ISAC que comparten información, como listas de fuentes de DoS nuevas, URL de botnets, etc., siempre y cuando cumpla con todas las reglas, establezca y comparta. También recomiendo leer sobre ISC SIE, puede encontrar más información aquí enlace .

Espero que algunos de estos recursos puedan ayudarlo en su búsqueda de listas, pero si lo toma de alguien que mantiene uno muy grande todos los días, debe utilizar otros recursos para la prevención de DoS, ya que son mucho más efectivos.

    
respondido por el detro 17.08.2011 - 20:16
fuente
2

En relación con la respuesta de @M'vy, debe consultar TorDNSEL

"TorDNSEL es una implementación de la lista de salida basada en DNS de prueba activa para nodos de salida Tor".

    
respondido por el random65537 16.03.2012 - 15:03
fuente

Lea otras preguntas en las etiquetas