What blacklists are for and the consequences of having your IP address on a blacklist
Представьте себя на минутку почтальоном, разносящим почту по квартирам вашего района. Из тысячи квартир в пяти квартирах живут агрессивные наркоманы, которые регулярно нападают на почтальонов; пару раз порядочно получив там, вы начинаете обходить эти квартиры стороной.
Этой информацией вы делитесь со своими коллегами почтальонами, а также с другими службами, в чьи задачи входит обход квартир. Например, если специалисты, отвечающие за проверку счетчиков, пойдут по квартирам без вашего черного списка, то наверняка надолго запомнят встречу с наркоманами. А если они воспользуются вашим черным списком, то обойдут стороной все "опасные" квартиры.
Аналогичная ситуация и с IP-адресами: есть компании, которые отслеживают IP-адреса, осуществляющие DDoS-атаки, мошеннические действия, рассылающие спам, и добавляют эти адреса в свои черные списки (black list). А затем другие компании, в основном почтовые сервисы, интернет-провайдеры, платежные системы, банки, интернет-магазины, покупают проверку IP-адресов своих посетителей по этим базам.
Например, покупатель интернет-магазина при оплате товара ввел данные кредитной карточки, магазин проверяет, не находится ли пользователь в черных списках. Если IP-адрес есть в черном списке, ему с высокой долей вероятности откажут или отправят на дополнительную проверку. Делается это из-за расплачивающихся крадеными банковскими картами мошенников, жертвами которых становятся магазины.
Хочу заметить, в случае с проверкой и оценкой пользователя современными антифрод системами все несколько сложнее, нежели простая проверка IP-адреса в блэк-листах, и наличие IP-адреса в черном списке – лишь один из показателей, которые формируют конечную оценку пользователя. Потому попадание IP-адреса в черный список безусловно плохо, но «не критично».
Особое неудобство пользователям «грязных» IP-адресов может доставить постоянное введение капчи, например при использовании поиска Google и Яндекс, прохождение проверок со стороны и anti-DDoS систем вроде CloudFlare.
Особенно часто страдают от этого пользователи VPN. IP-адреса публичных VPN-сервисов регулярно попадают в черные списки ввиду того, что к услугам VPN-сервисов прибегают киберпреступники. Если IP-адрес VPN-сервера попал в черный список, то проблемы возникнут у всех пользователей, подключенных к данному серверу VPN.
Расскажу довольно интересный случай, произошедший с моим знакомым экспертом в сфере IT-безопасности еще в середине двухтысячных. Однажды он консультировал пользователя, обратившегося с необычной просьбой: клиент утверждал, что его компьютер взломали, и просил найти доказательства этого. Но предоставленный клиентом компьютер не имел каких-либо признаков взлома, и мой знакомый поинтересовался, откуда у пользователя такая уверенность во взломе.
Оказалось, одна из локальных платежных систем заблокировала ему кошелек с деньгами, обвинив его ни много ни мало в осуществлении атак на кошельки других пользователей системы. Деньги у него были заблокированы немалые, но это были еще цветочки, так как представители платежной системы планировали заявить о случившемся в полицию для возбуждения в отношении пользователя уголовного дела.
Мой знакомый долго разбирался в ситуации, общаясь и со службой безопасности платежной системы, и с пользователем, - и в конце концов докопался до правды. Его клиент пользовался публичным proxy-сервисом, где сидел на одном сервере со злоумышленником, взламывавшим аккаунты платежной системы. Именно потому их IP-адреса совпадали.
Вы, естественно, не сможете никак проверить, не совершал ли кто-то ранее какие-либо преступления с полученного вами IP-адреса, а вот проверить наличие IP-адреса в черных списках может каждый.
Совет
Если вы когда-нибудь решите воспользоваться публичным сервисом VPN или прокси, до начала использования проверьте IP-адрес на наличие в черных списках.
Это касается и персонального VPN или прокси, так как хостинг может предоставить вам сервер c «грязным» IP-адресом. В этом случае вам надо обратиться к хостинг-провайдеру и попросить замену.
Помните, что черные списки не статичны и постоянно обновляются. Если вашим IP-адресом пользуется кто-то еще, IP-адрес может оказаться в черном списке в любое время. Сегодня он еще может быть белым и чистым, а завтра оказаться во всех популярных черных списках.
Еще одна особенность черных списков, на которую я бы хотел обратить внимание, ‒ актуальность данных. IP-адрес, с которого происходит противоправная активность, почти моментально оказывается в списке. А если противоправные действия прекратились, то IP-адрес исключается из black list спустя некоторое время, обычно через 15-45 дней.
Как проверить наличие IP-адреса в черных списках?
Компаний, составляющих подобные списки, немало, но самая крупная и авторитетная – Spamhaus. Потому ее мы разберем отдельно, а как проверить свой IP-адрес во всех остальных списках, расскажем в конце статьи.
Полное название Spamhaus – The Spamhaus Project, это созданная в 1998 году Стивом Линфордом некоммерческая организация, базирующаяся в Лондоне и Женеве. Организация занимается отслеживанием спама и определением его источников.
The Spamhaus Project прославился своим списком IP-адресов, которые замечены в рассылке спама и иной вредоносной активности. Данной базой пользуется множество интернет-провайдеров и email-провайдеров для ограничения спама и иной вредоносной активности. Черных списков IP-адресов у Spamhaus несколько, но нам интересны два из них:
The Spamhaus Block List (SBL) - в этот список попадают IP-адреса, замеченные в рассылке спама.
The Exploits Block List (XBL) - в этот список попадают IP-адреса, замеченные в распространении вредоносного ПО, атаках на компьютерные сети, а также зараженные компьютеры и сервера. В этот список попадают и публичные прокси-сервера, которые могут быть использованы для атак.
Эти два списка объединены в одну базу, известную как ZEN. Списки Spamhaus бесплатны только для частных лиц и некоммерческих организаций, а вот компаниям за пользование базой придется заплатить порядочную комиссию.
Пользователи могут проверять наличие IP-адреса в списках Spamhaus абсолютно бесплатно по этой ссылке. Предварительно вы можете узнать свой IP-адрес тут.
Помимо Spamhaus, есть много других черных списков IP-адресов, однако они не получили такого распространения и влияния. Проверить IP-адрес по другим спискам можно на сайте MXtoolbox. Если ваш IP-адрес окажется в каком-либо из списков, кроме Spamhaus, нет никаких причин для беспокойства – это вряд ли окажет серьезное влияние на вашу работу.
Что делать, если ваш IP-адрес оказался в черном списке
Вернемся к нашим наркоманам, с которых мы начали данную главу; одна из семей наркоманов покинула свое жилье, и туда въехали вы. Вскоре вы замечаете, что вам не приходит корреспонденция, и идете на почту узнать, что же произошло. Там выясняется, что ваша квартира в черном списке, и вы просите вычеркнуть вас. Почтальон говорит: «Хорошо» и вычеркивает, квартира пропадает из черного списка – и вы снова получаете почту.
Подобным образом работают черные списки, и IP-адрес всегда можно удалить из него по обращению к модератору списка. Однако это не всегда просто, когда речь, например, идет об IP-адресе VPN или прокси, потому мы рекомендуем просто менять IP-адрес.
Если речь идет об IP-адресе, предоставленном интернет-провайдером, то иногда для его смены достаточно выключить на некоторое время Wi-Fi роутер или выдернуть кабель. Если это не помогло, обратитесь к вашему интернет-провайдеру с просьбой о смене IP-адреса.
