Skocz do zawartości
Desavil

Blokowanie ruchu z TOR'a

Polecane posty

Witam,

 

Czy istnieje jakieś proste rozwiązanie do blokowania ruchu z sieci TOR?

Wiem, że CSF ma taką opcję, ale na chwilę obecną to rozwiązanie odpada.

 

Chodzi mi o zablokowanie całego ruchu (nie tylko na port 80) z adresu IP, które pochodzi z exit node TOR'a.
Myślałem o napisaniu skryptu, który pobierałby adresy IP ze strony http://torstatus.blutmagie.de/ i każdy z tych adresów byłby osobną regułką iptables z opcją -j DROP. Ale zastanawiam się czy takie rozwiązanie jest sensowne i jak wpłynęłoby ogólnie na wydajność serwera dodanie ok. 5000 takich regułek do iptables?

 

Pozdrawiam!

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Pytanie brzmi po co, równie dobrze musiałbyś zablokować wszystkie proxy bo to czy TOR, Proxy czy inny darmowy VPN mija się z celem.

 

P.S. Łatwiej to będzie zrobić po stronie aplikacji, np. skryptu php niż iptables. Regułki iptables spowalniają sieć, a 5000 regułek mija się z celem, dynamiczna baza danych np. mysql i odpytywanie czy IP jest na czarnej liście będzie działało bardziej efektywnie niż blokada po stronie OS'u.

Edytowano przez Archi (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zrobiłbym tak, gdyby chodziło o serwis WWW.

Tutaj chodzi o zupełnie inną aplikację, w którą nie można ingerować bezpośrednio.

Dlatego też pozostaje rozwiązanie na np. iptables. Dlaczego chcę blokować? Dlatego, że ktoś dokonuje właśnie ataków za pomocą sieci TOR na te usługi..

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Od ataków jest LFD, Fail2Ban, w ostateczności DenyHosts. Fail2Ban umożliwia własne regułki, własne aplikacje i własne akcje, przez co dodanie do niego swojej aplikacji, czy to teamspeaka, minecrafta czy czegokolwiek jest bardzo proste, tak długo póki aplikacja gdziekolwiek zapisuje informację o nieudanej próbie zalogowania.

 

Poza tym tak jak napisałem, jaką masz gwarancję że atakujący nie użyje wszystkich darmowych i płatnych VPNów? Potem botneta i tak dalej, aż będziesz miał pierdyliard regułek? Banuję się konkret, a nie wszystko.

Edytowano przez Gość (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Używam Fail2Ban, chciałbym aby chodziło tutaj tylko o nieudane próby logowania.

 

Powiem tak. Ataki są przeprowadzane za pomocą slowloris (na co mam 100% pewność po analizie logów w WireSharku i po samodzielnym wykonaniu takiego ataku na swoją usługę) i uwaga... nie są one kierowane na żadną aplikację www/http.

 

Trwa to już dobrych kilka miesięcy. Gwarancji nie mam oczywiście żadnej, ale chyba łatwiej policji w tej sprawie będzie odnaleźć tę osobę jak będzie łączyła się przez proxy/vpn niż przez tor'a jak obecnie.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

5000 regułek mocno spowolni działanie usług sieciowych. Przy 2k reguł dało się zauważyć opóźnienia rzedzu 1 sek.

Ale wystarczy, że użyjesz conntracka lub modułu state i nie powinno być opóźnień. Chociaż tak jak piszą przedmówcy IMHO lepiej zrobić to automatem.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×