|
|
 |
|
||||||||
 |
 |
 |
 |
 |
 |
 |
 |
||
|
|
|
|||||||
|
|||||||||
|
|
|
|||||||
 |
 |
|
|||||||||
|
 |
TOR DNSBL - blacklist for Tor servers / Schwarze Liste für Tor Server
If you where sent to this page due to an error message: your ip may be listed
on tor.dnsbl.sectoor.de.
Falls Sie aufgrund einer Fehlermeldung auf diese Seite aufmerksam geworden sind: Ihre IP ist evtl. in unserer DNSBL tor.dnsbl.sectoor.de eingetragen.
You use and like this service?
Information in english:
Informationen in Deutsch:
Tor is a connection-based low-latency anonymous communication system which addresses many flaws in the original onion routing design. Tor can be used to "bounce" tcp connections trough some nodes around the world, leaving the tor network via some exit server. These exit servers are the "peer" you can see in your logs if someone uses Tor to connect to your server. Since nobody can control which ports are allowed on the exit servers (the tor project itself denies smtp by default, but this can be changed) it's a potential risk that someone abuses the tor network to hide his ip while he's spamming around. More information can be found on the Tor webpage: http://www.freehaven.net/tor/ Currently we list every tor node which allows clients to connect to the following ports: 25, 194, 465, 587, 994, 6657, 6660-6670, 6697, 7000-7005, 7070, 8000-8004, 9000, 9001, 9998, 9999 Every node gets listed twice: - The IP running the tor server itself - Class C Networks which include the tor server You may ask why we list complete networks? Well, it's because a tor server can do outgoing connections on other ips (multiple ips per host) than the server runs on. Since normally a server operates in the same class-c network we chose the listing of the entire class-c as second list type. But we use different records for the two listing types. This makes it possible to choose what you want to block. You can read more about this on the "how to use this list" section later. We list every IP which is known to run a tor server and allow their clients to connect to one of the following ports: 25, 194, 465, 587, 994, 6657, 6660-6670, 6697, 7000-7005, 7070, 8000-8004, 9000, 9001, 9998, 9999 All listed IPs get a CNAME record to torserver.tor.dnsbl.sectoor.de which has an A record of 127.0.0.1 and a TXT record "TOR Server detected - see http://www.sectoor.de/tor.php for more information." Sometimes we found ips used by tor which where not listed. This was because of every tor node can have multiple ips. Tor can use a different ip for making outgoing connections then the ip on which the server is listening on. To cover this, we list every class c network which includes a tor server, too. To enable every user to choose between the two types, we list entire networks with a CNAME record to torservernet.tor.dnsbl.sectoor.de which has an A record of 127.0.0.2 and a TXT record "TOR Server Network detected - see http://www.sectoor.de/tor.php for more information." To protect yourself or your service against abuse from tor users, you can use our DNSBL. Currently we just see some use of this list for a few services like IRC Networks using BOPM. Since only a few nodes allow outgoing SMTP connections, the usage of this list by smtp servers is probably low. To help you setting up this dnsbl with your service, we'll give you a few examples. For now we'll only cover BOPM and Postfix but if you have some other examples you want to share, feel free to contact us.
You can also add '2 = "Tor network";' in the reply case if you want to block complete networks including a tor server, too (please see warning below!). Users of Neostats opsb should not use tor.dnsbl.sectoor.de as opsb isn't able to filter the reply type. We created a list only containing the tor nodes without the subnet. This is already fixed in opsb cvs version. If you run the latest stable, please use "exitnodes.tor.dnsbl.sectoor.de" instead!
Warning: the /24 listing of subnets containing a tor node isn't usefull for direct blocking users. Use this only for "scoring" or to alert you when a connect comes from a subnet which contains a tor node. If you use the subnet listing for banning people from your service, expect false positives! Every user of one of our DNS Blacklists should subscribe our Mailinglist. We'll announce changes or other important things on this list. The list is "read-only". To join the list, just send a mail to dnsbl-announce+subscribe@lists.sectoor.de.
Tor ist ein verbindungsorientiertes anonymes Kommunikationssystem mit niedriger Verzögerungszeit, das viele Schwachstellen des ursprünglichen "Onion Routing"-Konzepts beseitigt. Das Tor Netzwerk kann dazu genutzt werden, TCP Verbindungen über verschiedene Knotenpunkte, die über die Welt verteilt sind, zu "bouncen" und das Netz dann über sog. "Exit Server" zu verlassen. Diese Exit Server sind die "Gegenstelle" die in den Logs auftauchen wenn jemand das Tor Netzwerk nutzt. Da niemand wirklich kontrollieren kann welche Ports ein Exit Server erlaubt (das Tor Projekt selbst verbietet z.B. SMTP per default, aber das kann jeder Serveradministrator ändern), besteht ein potentielles Risiko das jemand das Tor Netzwerk missbraucht um seine IP bei Spam-Aktionen zu verbergen. Mehr Informationen finden Sie auf der Tor Webseite: http://www.freehaven.net/tor/ Momentan werden alle Tor-Server gelistet, die Clienten eine Verbindung zu den folgenden Ports erlauben: 25, 194, 465, 587, 994, 6657, 6660-6670, 6697, 7000-7005, 7070, 8000-8004, 9000, 9001, 9998, 9999 Jeder Tor-Server führt zu einer doppelten Listung: - Die IP auf der ein Tor Server läuft - Das Class C Netzwerke in dem ein Tor Server steht Falls Sie sich fragen warum wir komplette Netzwerke listen? Der Grund dafür ist, das ein Tor Server unterschiedliche IPs (bei mehreren IPs pro Server) für ausgehende Verbindungen verwenden kann als die, auf denen der Server selbst läuft. Normalerweise liegen diese verwendeten IPs im selben Class-C Netz, daher haben wir uns entschlossen auch das komplette Netz zu listen. Allerdings verwenden wir dafür unterschiedliche List-Typen. Damit kann jeder selbst entscheiden ob er nur die Tor Server IPs blocken möchte oder auch die kompletten Netze. Darüber später mehr in "Wie verwendet man diese Liste". Wir listen jede IP die als Tor Server bekannt ist und Verbindungen zu den folgenden Ports erlaubt: 25, 194, 465, 587, 994, 6657, 6660-6670, 6697, 7000-7005, 7070, 8000-8004, 9000, 9001, 9998, 9999 Jede gelistete IP bekommt ein CNAME Record auf torserver.tor.dnsbl.sectoor.de der einen A Record auf 127.0.0.1 und ein TXT Record "TOR Server detected - see http://www.sectoor.de/tor.php for more information." besitzt. Wir haben vereinzelt IPs gefunden, die nicht gelistet waren, aber von Tor genutzt wurden. Grund dafür war, das ein Tor Server mehrere IPs haben kann. Tor kann entsprechend unterschiedliche IPs für ausgehende Verbindungen nutzen. Um diese Server trotzdem zu listen, haben wir auch die Class-C Netze in denen ein Tor Server steht in unsere Liste aufgenommen. Um jedem User die entscheidung selbst zu überlassen ob er auch komplette Netze blocken möchte, listen wir komplette Netzwerke mit einem CNAME Record auf torservernet.tor.dnsbl.sectoor.de. Dieser Host hat einen A Record auf 127.0.0.2 und einen TXT Record: "TOR Server Network detected - see http://www.sectoor.de/tor.php for more information.". Um sich oder seine Server vor solchen Usern zu schützen, kann unsere DNSBL genutzt werden. Momentan wird sich der Nutzen dieser Liste auf wenige Anwendungsgebiete, wie z.B. IRC-Netzwerke die BOPM verwenden, beschränken. Da nur wenige Tor Server ausgehende SMTP Verbindungen erlauben, ist der Nutzen dieser Liste für SMTP Server wohl eher gering. Um Ihnen beim Einrichten dieser DNSBL Liste zu helfen, haben wir hier einige Beispiele aufgelistet. Momentan existieren nur Beispiele fuer BOPM und Postfix, falls Sie aber weitere Beispiele haben, können Sie uns diese gern zusenden.
Wer möchte kann unter reply auch '2 = "Tor network";' hinzufügen um komplette Netze mit einem Tor Server zu blocken (bitte dazu die Warnung weiter unten beachten!). Nutzer des opsb von Neostats sollten tor.dnsbl.sectoor.de nicht benutzen. Mit opsb ist es nicht möglich auf reply typen zu prüfen. Damit opsb Nutzer trotzdem unsere Liste verwenden können, haben wir eine DNSBL die nur Tor Nodes selbst (ohne die Subnetze) enthält. In der aktuellen CVS Version von opsb wurde dies bereits berücksichtigt. Wer die letzte stable Version von opsb verwendet, sollte anstelle von tor.dnsbl.sectoor.de bitte "exitnodes.tor.dnsbl.sectoor.de" eintragen.
Warnung: Das Listing von Subnetzen (/24) die einen Tor Node enthalten ist nicht sinnvoll um es zum direkten blocken von Nutzern zu verwenden. Das Subnetzlisting sollte lediglich zum "Scoring" bzw. alamieren verwendet werden. Wer das Subnetzlisting verwendet, riskiert sogenannte "false positives"! Jedem Nutzer unserer DNS BlackLists wird empfohlen, die Mailingliste zu abonieren. Dort werden Neuerungen/Änderungen bekannt gegeben. Die Liste ist "Read-Only". Um der Liste beizutreten, schicken Sie einfach eine Mail an dnsbl-announce+subscribe@lists.sectoor.de.
|
|
||||||||
 |
 |
||||||||||