> Clement Cavadore a écrit : > Pourquoi ne pa donner plus de détails ici ? Par exemple, les listes noires > utilisées,
Voici la liste à ce moment précis, je suis plus qu'à l'écoute des commentaires à ce sujet, il y a des améliorations à faire. Pour certaines, j'ai demandé et obtenu l'autorisation d'utiliser leur liste. Pour d'autres, j'ai rien entendu comme retour. Il y a surement des redondances, ce qui ne me dérange pas. Au final je fabrique une liste unique. J'ai aussi des listes et des feeds BGP dont j'ai explicitement reçu l'autorisation d'utiliser mais non pas de redistribuer, ces préfixes sont taggués en no-export et ne sont ni listés ci-dessous ni redistribués. "http://www.projecthoneypot.org/list_of_ips.php?t=d&rss=1" # Project Honey Pot Directory of Dictionary Attacker IPs "http://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=1.1.1.1" # TOR Exit Nodes "http://danger.rulez.sk/projects/bruteforceblocker/blist.php" # BruteForceBlocker IP List "http://rules.emergingthreats.net/blockrules/compromised-ips.txt" "http://rules.emergingthreats.net/blockrules/emerging-botcc.excluded" "http://rules.emergingthreats.net/blockrules/emerging-botcc.portgrouped.rules" "http://rules.emergingthreats.net/blockrules/emerging-botcc.rules" "http://rules.emergingthreats.net/blockrules/emerging-ciarmy.rules" "http://rules.emergingthreats.net/blockrules/emerging-compromised-BLOCK.rules" "http://rules.emergingthreats.net/blockrules/emerging-compromised.rules" "http://rules.emergingthreats.net/blockrules/emerging-drop-BLOCK.rules" "http://rules.emergingthreats.net/blockrules/emerging-drop.rules" "http://rules.emergingthreats.net/blockrules/emerging-dshield-BLOCK.rules" "http://rules.emergingthreats.net/blockrules/emerging-dshield.rules" "http://rules.emergingthreats.net/blockrules/emerging-rbn-BLOCK.rules" "http://rules.emergingthreats.net/blockrules/emerging-rbn-malvertisers-BLOCK.rules" "http://rules.emergingthreats.net/blockrules/emerging-rbn-malvertisers.rules" "http://rules.emergingthreats.net/blockrules/emerging-rbn.rules" "http://rules.emergingthreats.net/blockrules/emerging-tor-BLOCK.rules" "http://rules.emergingthreats.net/blockrules/emerging-tor.rules" "http://rules.emergingthreats.net/blockrules/rbn-ips.txt" # Emerging Threats - Russian Business Networks List "http://www.spamhaus.org/drop/drop.lasso" # Spamhaus Don't Route Or Peer List (DROP) "http://www.spamhaus.org/drop/edrop.lasso" # Spamhaus Don't Route Or Peer List (EDROP) "http://cinsscore.com/list/ci-badguys.txt" # C.I. Army Malicious IP List "http://www.openbl.org/lists/base_7days.txt" # OpenBL.org 7 day List "http://www.autoshun.org/files/shunlist.csv" # Autoshun Shun List "http://lists.blocklist.de/lists/all.txt" # blocklist.de attackers "http://hosts-file.net/rss.asp" "https://www.myip.ms/files/blacklist/csf/latest_blacklist.txt" "http://malc0de.com/bl/IP_Blacklist.txt" "https://sslbl.abuse.ch/blacklist/sslipblacklist.csv" Listes que je n'utilise plus : les listes de wizcrafts.net. Ces listes bloquent des centaines de millions d'IP (il y a même un /8 dedans) et ne produisent aucun résultat. J'avais par exemple essayé de bloquer la Chine entière, et çà ne bloquait que très peu d'attaques provenant de Chine. > bref, comment tu as construit ton truc, quoi J'ai pompé des bouts de code à droite et à gauche, çà s'appelle de la recherche :-D Il y a ExaBGP, quelques lignes de Python tellement nulles que j'ai peur de poster le source, et un bout de bash. > eventuellement si tu taggues avec des communauéts BGP particulières en f() de > la liste de laquelle provient le préfixe, Non; je devrais dire pas encore, c'est dans mon élevage de yàkà; ça va considérablement compliquer le code. Aujourd'hui je taggue tout avec 65532:666 ;-) C'est ce que font les fournisseurs de feed BGP payants. Je vois bien l'intérêt : s'il y avait une liste en particulier qui bloque trop de choses, il suffirait de ne pas faire le match community dans la route-map in. Ceci dit, pour l'instant je suis plutôt à l'écoute de quelles sont les bonnes listes à utiliser ou pas. Réponses à des questions en privé : > Quelles types de routes y sont listées ? /10: 1 /12: 2 /14: 10 /15: 13 /16: 178 /17: 25 /18: 53 /19: 74 /20: 91 /21: 54 /22: 110 /23: 46 /24: 306 /32: 35776 Prefixes : 36,739. Total IP count : 25,309,632. Ca change tout le temps, naturellement. > Est-ce que tu penses que ça peut typiquement être un moyen de lutter contre > les attaques DDoS, par exemple ? Si tu as un arrangement avec ton FAI pour qu'il accepte ta liste et bloque en amont, oui. Techniquement possible, politiquement difficile. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/