You are here

Come creare una blacklist di indirizzi IP e alternativa

Inviato da giovanninews on Ven, 23/01/2015 - 00:54

Una immagine per la blacklist Creare una blacklist di indirizzi IP ai quali si nega l' accesso al nostro spazio web non è cosa facile; facilmente si potrebbe inibire l' accesso ad utenti ignari che hanno un IP dinamico assegnato dal provider e l' IP in oggetto potrebbe essere stato utilizzato in precedenza da uno zombie ignaro di esserlo.

Si può diventare uno zombie in rete quando qualche cracker è riuscito ad entrare nel nostro dispositivo di connessione e depositare in esso un malware che permette al cracker, quando siamo collegati, di fare i loro comodi utilizzando il nostro IP.

Ma la cosa ancora più grave potrebbe essere quella di inibire l' accesso a bot buoni, quali quelli dei motori di ricerca che indicizzano il nostro spazio web permettendone l' accesso ai tanti utenti che nel mondo fanno ricerche.

Eppure anche qui esistono differenze da fare; esistono bot buoni che rispettano le regole (quelle impartite nel robots.txt del sito) e bot meno buoni che le regole non le rispettano, consumano la nostra banda togliendola ad altri, permettono un accesso più facile ai tanti cracker che in rete abbondano sempre di più. I bot meno buoni, quelli che le regole non le rispettano, dovrebbero essere bannati.

Come avrete capito, il web è pieno di spammer e di cracker; potrei anche azzardare l' affermazione che nel web vi sono forse più spammer e cracker che utenti normali, e se le autorità preposte a fermarli non lo fanno, in qualche modo dobbiamo pensarci noi. E' certo che le autorità hanno un gran lavoro da fare, ma forse pensano di più a tutelare le major cinematografiche e le case discografiche che non i piccoli imprenditori che vorrebbero un loro spazio web o qualche amatore della comunicazione che vorrebbe divulgare le proprie idee.

Lo spam in rete è molto diffuso ed altrettanto diffusi sono i cracker; è probabile che i primi supportano gli altri e che gli altri si servano dei primi. I tentativi di hackerare i siti web sono diffusissimi e mentre è più facile individuare lo spam, individuare i cracker è un qualcosa di molto più sottile.

I tanti metodi Captcha o le varie Api delle organizzazioni anti-spam ed anti-hacker che controllano in real time gli indirizzi IP, utilizzati dai webmaster, sono certamente utili, abbassano di molto la probabilità di essere infettati, ma se si è presi di mira da qualche cracker tutti questi metodi servono a poco.

E' normale che questo spazio web, per ciò che ha pubblicato anche in riferimento allo spammer ed ai cracker, sia preso particolarmente di mira da questi, ma ciò non mi fa paura. Uno degli obiettivi di questo sito è quello di poter divulgare opinioni e notizie il più liberamente possibile, anche se a volte avrò detto, inconsapevolmente, qualcosa di inesatto.

La lunga introduzione serve per introdurre un commento ricevuto il 20/12/2014, dopo diversi giorni di centinaia di attacchi spammer, da un indirizzo https (quindi addirittura con certificato); inserisco di seguito il commento, oscurandone i riferimenti:

amministratore Forum.

indirizzo dell' immagine https oscurato

Amministratore del sito Caro , tu sei nel mio forum di spam di base che manterrebbero il sito dallo spam è necessario trasferire al mio conto 10 $ , e non sarà possibile ottenere messaggi pubblicitari spam sul tuo forum!

[b] requisiti di pagamento: PayPal.com - indirizzo mail del cracker oscurato[/b]

Dopo il pagamento per l'importo di 10 $ è necessario scrivere l' indirizzo del tuo sito e inviarlo alla mia e -mail: [b]indirizzo mail oscurato[/b] e rimuoverò il tuo sito dalla lista dei messaggi pubblicitari di spam sul forum.

Tutte le domande importanti che mi puoi inviare la mia e-mail: indirizzo mail oscurato

Naturalmente la prima cosa che faccio è quella di comunicare al dominio che vi è una mail che sta abusando del loro servizio; quindi comincio a bloccare indirizzi IP e range IP.

Dalle centinaia di spam quotidiani, dopo quasi un mese, implementando la mia blacklist di indirizzi IP da bloccare, riesco ad eliminare totalmente lo spam e, pian piano, ad individuare anche i tentativi di hackerare il sito web; il tutto analizzando il file di log del mio sistema.

E' importante sottolineare che, mentre è facile individuare lo spam perchè è facilmente visibile dagli innumerevoli tentativi sulle stesse pagine, è difficile individuare il cracker; il cracker produce al massimo due o tre errori 404, quindi errori di accesso a pagine inesistenti.

Il cracker può essere quindi facilmente confuso con un bot ed a volte si maschera con un cattivo bot; effettua una marea di scansioni di pagine che esistono e poi tenta l' accesso ad una pagina inesistente che ha provato a mettere nel nostro dominio in precedenza tramite un PUT HTML.

E' normale che la blacklist generata sia abbastanza lunga e che questa, pur contenendo duecento o trecento righe, trattandosi di range IP e non semplicemente di indirizzi IP, bloccherà migliaia se non centinaia di migliaia di indirizzi IP; i bot malsani sono invece bloccati con singolo indirizzo IP.

I range IP bloccati provengono generalmente dalla Russia, da ex paesi dell' Unione Sovietica e dalla Cina, ma non mancano range IP bloccati degli Stati Uniti e dell' Europa, ma anche dell' Italia.

Considerando che gli IP dannosi appartengono spesso a siti ignari o utenti zombie utilizzati da spammer e cracker, considerando che i siti ignari ed i provider che assegnano IP dinamici potrebbero bloccare spammer e cracker e quindi far ridiventare buono un indirizzo IP potenzialmente dannoso, considerando la mia ultima discussione con un dottore che si occupa di divulgazione scientifica e che non vorrebbe che la nuova medicina sia preclusa ad utenti russi o cinesi, così come potrebbe essere preclusa una informazione tecnica, la blacklist generata va assolutamente periodicamente rivista ed affinata, diciamo ogni mese circa.

Quindi o ci creiamo delle blacklist di indirizzi IP da bloccare o utilizziamo un metodo alternativo.

Alternativa alle blacklist di indirizzi IP da bloccare

Iniziamo con il metodo alternativo per bloccare spammer e cracker, più semplice, che ci evita sia di fare una marea di controlli che di commettere errori gravi.

Il metodo semplice per bloccare spammer e cracker è quello di iscriversi ad una CDN e quindi mettere il nostro dominio sotto la CDN.

Tra le CDN che offrono servizi gratuiti oltre che a pagamento, abbiamo la famosa Cloudflare che, tra i diversi servizi gratuiti, offre anche quello della sicurezza, implementando dello loro blacklist certamente molto più performanti di quelle offerte dai normali servizi di hosting ai quali ci affidiamo.

Altro vantaggio notevole delle CDN e di Cloudflare è quello di dare una spinta in più al nostro sito web, in termini di velocità di risposta, servendo le nostre pagine web da server dislocati e dotati di potenti servizi di cache; è importante sottolineare che le prestazioni del sito web (elevando la User Experience del sito web) sono da tempo inserite tra gli oltre 200 algoritmi di Google per la valutazione del sito web ed il conseguente posizionamento nelle Serp.

L' utilizzo dell' alternativa Cloudflare, più semplice e più conveniente per molti, seppure costantemente presa in considerazione, da me è al momento esclusa in quanto ho ancora tanto da imparare e preferisco avere un controllo diretto su ogni aspetto del sito web.

Info aggiuntive su Cloudflare

Contrariamente a quanto detto, il piano free di Cloudflare non fornisce nè un firewall nè tantomeno una mitigazione degli attacchi DoS; per avere la Web application firewall (WAF) è necessaro passare al piano CloudFlare Pro (20 dollari al mese), mentre per avere l' Advanced denial of service attack mitigation è necessario passare al piano CloudFlare Business (200 dollari al mese).

Confermo il miglioramento delle performance passando sotto CloudFlare Free.

Un ulteriore problema dell' uso di CloudFlare è rappresentato dal fatto che non si ha più il controllo degli indirizzi IP che accedono al sito, in quanto questi riporteranno tutti gli IP di CloudFlare; questo problema è però risolvibile installando appositi plugin (che aumenterà però le risorse rischieste per il sito web).

Creare una blacklist di indirizzi IP da bloccare

Le indicazioni che posso dare sono riferite a come creare una blacklist per bloccare indirizzi IP malevoli disponendo un sito web sviluppato in PHP, con server web Apache (o LiteSpeed) e possibilità di modifica del file .htaccess.

Se il servizio di hosting ci mette a disposizione lo strumento CPanel per la gestione del sito, è tutto molto più semplice; con CPanel, da Gestione rifiuti indirizzi IP, è facile indicare l' indirizzo IP o il range di indirizzi IP malevoli a cui negare l' accesso al sito web.

CPanel, nella Gestioni rifiuti indirizzi IP, accetta sia indirizzi IP univoci che range di indirizzi IP in varie forme.

CPanel e la gestione dei rifiuti degli indirizzi ip

Se il servizio di hosting non ci mette a disposizione CPanel ma ci permette di modificare il file .htaccess, possiamo indicare nella coda del file .htaccess gli indirizzi IP univoci o il range di indirizzi IP malevoli nel formato CIDR nel modo seguente:

<Files 403.shtml>
order allow,deny
allow from all
</Files>
deny from xxx.xxx.xxx.xxx
deny from yyy.yyy.yyy.y/yy

dove, al posto di xxx.xxx.xxx.xxx bisogna mettere l' indirizzo IP univoco malevolo a cui si vuole inibire l' accesso al sito web e al posto di yyy.yyy.yyy.y/yy bisogna mettere il range IP malevolo nel formato CIDR degli indirizzi IP ai quali si vuole impedire l' accesso al sito web.

Gli indirizzi IP univoci diversi ed i range IP diversi vanno indicati in sequenza, uno per riga, preceduti sempre dall' istruzione deny from.

Ma come individuare gli indirizzi IP o i range IP malevoli ?

Come ho detto in precedenza, è necessario leggere il nostro file del log accessi e controllare gli indirizzi IP sospetti con strumenti gratuiti online che permettono prima di tutto di capire se un indirizzo IP ha una buona o una cattiva reputazione; a questo scopo, personalmente ho utilizzato i siti web di SenderBase e di Project Honey Pot.

Al fine di restringere la ricerca dell' indirizzo IP malevolo da una route ad un CIDR o un inetnum ho utilizzato il sito web Robtex che è un ottimo analizzatore di reti gratuito e di cui ho già parlato in un altro articolo.

Per verificare il singolo indirizzo IP, per capirne la paternità o individuare se si tratta di un bot, è possibile utilizzare uno dei tanti servizi Whois sparsi per la rete.

Perchè non pubblicare la blacklist di indirizzi IP generata ?

I motivi per cui non pubblico la blacklist di indirizzi IP sono molteplici:

  1. il primo fra tutti è quello di non voler ulteriormente attirare le ire di centinaia di migliaia di cracker
  2. il secondo è che spero che i cracker possano redimersi e trasformarsi in bravi hacker
  3. il terzo è che la blacklist di indirizzi IP va ulteriormente verificata e rifinita e questo processo deve avvenire in maniera periodica, al fine di non inibire l' accesso ad indirizzi IP erroneamente finiti nella blacklist o indirizzi IP che nel frattempo sono stati purificati.

Infine, sono disponibile a comunicare su richiesta la mia blacklist di indirizzi IP ad utenti della Comunità webmaster di Google, sempre che gli utenti siano da me conosciuti e di mio gradimento.

Commentate pure numerosi, se ci riuscite.