Onde encontrar e como bloquear IPs e proxies na lista negra?

Navegue suas respostas
2

Bom dia a todos!

Estou procurando uma maneira de bloquear solicitações recebidas de IPs e proxies na lista negra (principalmente anônimos) para o meu servidor. Embora seja bastante óbvio como fazer isso usando o Apache config, a questão principal é onde posso encontrar uma lista regularmente atualizada desses IPs?

Existe uma "melhor prática" para fazer isso?

Aprofundando as razões para isso: meu site recebe um enorme tráfego de entrada de muitos IPs diferentes localizados principalmente nos EUA. Quase todos os pedidos se desviam uns dos outros e é por isso que não consigo bloquear nem IP específico, nem o intervalo de IPs por sub-rede. Embora não seja um ataque verdadeiro de DDoS, meu servidor dedicado quase fica offline: /

Eu acho que preciso de algo como Fail2Ban e DenyHosts, mas baseado não apenas em senhas, mas em todo o tráfego de entrada.

    
por WASD42 13.07.2011 / 10:25

4 respostas

1

Existe um excelente to para instalar o MoBlock no seu servidor; está escrito para o Ubuntu, mas as instruções podem ser adaptadas para qualquer distribuição. Esta é uma ferramenta que permite carregar listas de bloqueio arbitrárias e convertê-las em regras de firewall, para que o servidor possa descartar o tráfego de maneira rápida e eficiente muito antes de o Apache se incomodar com isso.

Quanto às listas de bloqueio, há as Listas de bloqueio de IP da BISS ; Eles são principalmente voltados para o bloqueio de entidades que tentam monitorar o tráfego peer-to-peer, o que eles fazem muito bem. No entanto, eles têm uma lista "Tor / proxy" que pretende bloquear proxies abertos e roteadores Tor, mas não posso fazer nenhuma afirmação específica quanto à sua precisão ou eficácia.

Eu também encontrei um programa chamado DDoS-Deflate , que pretende adicionar regras de firewall automaticamente para bloquear fontes de alta conexão, mas, novamente, eu nunca usei isso sozinho, então não posso dizer o quão bem ele funciona.

Por fim, aparentemente o iptables tem um comando hitcount que classifica automaticamente as conexões de entrada: 

sudo iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
sudo iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 8 --rttl --name SSH -j DROP

Isso limitaria as conexões SSH de entrada para 8 por 60 segundos e já está incorporado.

    
por 14.07.2011 / 09:46
0

Existem vários sites que pretendem listar IPs "abusivos". Eu gosto do Honeypot do projeto , pois ele é gratuito (se você participar da rede) e tem critérios razoavelmente abertos para o que o coloca na lista. Caso contrário, uma pesquisa do Google por "lista negra de proxy aberto" parece fornecer um longo conjunto de resultados; Não posso dar recomendações específicas, mas é melhor analisar as opções para suas próprias necessidades.

    
por 13.07.2011 / 10:37
0

Experimente o ModSecurity: link , combinado com o SSHBlack: link

    
por 13.07.2011 / 10:47
0

Eu uso o link

e, às vezes, se quiser ser mais agressivo, uso listas disponíveis no link

    
por 19.08.2013 / 11:33

Tags

Múltiplos intervalos de IP externos em um Juniper SSG5 o servidor mysql não iniciará, funcionou durante meses.