Bloquea el acceso de todas las direcciones de BotNets y TOR a nuestro sitio

9

He escuchado que se producen muchos ataques de DOS e intentos generales de "piratería negra" en la red TOR. ¿Puedo bloquear dinámicamente las IP de origen por su presencia en una BotNet o una lista similar ?

  • ¿Qué tan efectivo sería esto para frustrar DDoS o actividades de sombrero negro / secreto?

  • ¿Cómo implementaría tal solución? (Estoy abierto a soluciones gratuitas o de pago aquí)

Editar

Suponga que los usuarios de este sitio web (u otro recurso de red) no deben ser anónimos. Esto podría ser por política de la compañía, en los términos del servicio, etc.

Este es un ejercicio para limitar el riesgo para el proveedor de servicios.

    
pregunta random65537 16.03.2012 - 15:17
fuente

3 respuestas

8

Mi primer pensamiento es que si se trata de un ataque DDoS, lo más probable es que la fuente sea una máquina zombie infectada que el operador no podría preocuparse si son rastreables porque no lo llevarán de vuelta a él. Estoy seguro de que un buen número de usuarios de Black Hat usan Tor para tratar de cubrir sus pistas, pero también estoy dispuesto a apostar que hay más usuarios legítimos en Tor que no. Básicamente, podrías bloquear todo el tráfico de Tor, pero al final podrías terminar bloqueando a más tipos buenos que a tipos malos.

    
respondido por el Safado 16.03.2012 - 15:26
fuente
7

Me gustaría animarle a que eche un vistazo a los siguientes enlaces:

El proyecto TOR tiene una página de preguntas frecuentes completa relacionada con el abuso, incluida una sección llamada " Quiero prohibir la red Tor de mi servicio. "donde explican cómo identificar y bloquee los nodos de salida TOR y qué alternativas podría haber para hacerlo.

También hay actualmente 400k personas que usan TOR , siendo EE. UU. el número 1 con alrededor del 14% (60k). Esto podría tener un impacto negativo en la imagen de su empresa. ("¡Son contra-privacidad!" "¡Están a favor de escuchas telefónicas sin guerra!", ...)

    
respondido por el Tie-fighter 10.08.2012 - 02:44
fuente
0

Un ataque serio inundaría su ISP, por lo que sus soluciones locales serían irrelevantes. Su ISP podría interrumpirlo y / o esperar que pague tarifas excesivas de ancho de banda excesivo.

Incluso un atacante determinado puede causar muchos problemas para un sitio que se ejecuta en hardware ordinario, por lo que vale la pena preparar defensas basadas en el bloqueo de direcciones IP particulares.

También debe tener en cuenta que lo que percibe como un ataque es más probable que sea un rastreador web mal configurado u otro mal comportamiento relativamente inocente de un programa. Eso es bueno, porque es probable que el bloqueo simple sea efectivo.

    
respondido por el ddyer 10.08.2012 - 02:34
fuente

Lea otras preguntas en las etiquetas