web-dev-qa-db-ja.com

DDoSから保護するためのボットネットIPアドレスフィードの検索

ボットネットIPアドレスのライブフィードをサービスから配信し、特定の条件下でそれらをブロックしたいと思います。できればコミュニティベース/オープンソースですが、価値のある商用のものにも注目してください。これまでのところ、dshield(Internet Storm Center)とi-blocklistに遭遇しました。あなたが使用して有用だと思ったと私が考えることができる他のものは何ですか?

主な目的は、DDoSを防ぐことです。フィードを介してTORと匿名プロキシをブロックできることも素晴らしいことです。

14
shavian

ボットネットとDDoSで何か注意すべきことがあると思います。

ボットネットの分散システムの主な関心は、正規のクライアントからボットを特定できないことです。次のように考えてください。

シナリオ

誰かがウイルスを送信して多くのコンピュータに感染します。だまされた各ユーザーは、いわゆるボットネットの一部になりました。 1億個のボットがあるとします。

結果

IPアドレスの使用

このシナリオは、ボットのIPアドレスがISPポリシーに応じて動的または静的IPアドレスを持っていることを意味します。したがって、IPアドレスを収集しても意味がありません。間もなく、プールは更新されます。

分散ネットワークと識別

DDoSはこのように機能します。各ボットに1つのサーバーに接続するように依頼します。質問:彼らが正当な目的でサーバーにアクセスしようとしているのか、それとも単に接続プールを飽和させようとしているのか、どのようにしてわかりますか?

この場合、クライアントが攻撃の一部であるかどうかを特定できないため、分散ネットワークのIPの信頼できるリストをコンパイルできません。

結論

不可能ではありませんが、実際の識別子(IPアドレス)の使用とボットの識別という2つの問題があるため、IPによるDDoS攻撃の防止は不可能だと思います。

サーバーのグループがライブ攻撃をマスターサーバーに報告する場合、ボットのセットからの次の攻撃は異なるIPアドレスを持っている可能性が高いです。さらに、1つのサーバーにアクセスしようとした1つのアドレスのリストにIPが一度表示された場合、DDoS攻撃を受けていることがわかっている場合は、サイトへのアクセスを拒否できません。これは、攻撃とは関係のない正当なクライアントを禁止するためです。

ちなみに、こんなリストは聞いたことがありません。


TORネットワーク出口ノードは、より簡単に識別できます。 http://proxy.org/tor.shtml のようなリソース

11
M'vy

Spamhaus XBLはあなたが探しているものに似ていますか?

http://www.spamhaus.org/xbl/

Spamhaus Exploits Block List(XBL)は、オープンプロキシ(HTTP、socks、AnalogX、wingateなど)、組み込みのスパムエンジンを備えたワーム/ウイルスなど、違法なサードパーティのエクスプロイトに感染したハイジャックされたPCのIPアドレスのリアルタイムデータベースです。その他の種類のトロイの木馬のエクスプロイト。

それはスパムメールの送信者により関心がありますが、おそらくいくつかの用途です。

5
DanBeale

あなたは簡単なグーグル検索でTOR出口ノードリストへのリンクを見つけることができます。 Spamhaus XBLは素晴らしいリソースであり、DoS攻撃をブロックするためにシンクホールやその他のオプションを利用する可能性があります。しかし、最近ボットネット、スパマー、マルウェアペイロード、エクスプロイトキット、DoS攻撃など、別の目的で悪意のあるアクティビティに関連するIPとドメインのかなり大きなリストを作成するタスクがあったためです。良い出発リソースは、ここで見つけることができるレニーゼルツァーのリストでしょう。 http://zeltser.com/combating-malicious-software/malicious-ip-blocklists.html

いくつかのWebサイトは、すべての悪意のあるドメインとIPをリスト、malwaredomains.comにロールアップしようとします。malwaredomains.comは、多くのソース、スパマー、エクスプロイトキットなどから取得します。

そして、あなたはあなたがあなたがあなたがその一部であるためにあなたが支払うリストに到達します、私はArborネットワークが1つをロールアウトし、それらは明らかにコストはかかりますが効果的である他の多くの有料リストです。会社または特定の業界で働いている場合、すべてのルールを守り、憲章を守り、共有する限り、新鮮なDoSソースのリスト、ボットネットURLなどの情報を共有するISACグループを見つけることができます。 ISC SIEを読むことを強くお勧めします。詳細はこちら https://sie.isc.org/ をご覧ください。

これらのリソースのいくつかがリストの検索に役立つことを願っていますが、毎日非常に大きなリストを維持している人からそれを取り入れてください。DoS防止のために他のリソースを利用するほうが効果的です。

3
detro

@ M'vyの答えに関連して、あなたは見るべきです TorDNSEL

「TorDNSELは、Tor出口ノード用のアクティブテスト、DNSベースの出口リストの実装です。」

2