Ci dessous pour ceux qui veulent en savoir plus le détail des listes de blocage des adresses IP listées comme criminelles
Cerbère utilise des lsites de blocage automatique de nombreuses adresses IP criminelles dont la liste et les fonctions sont sont décrites ci dessous.
backscatterer (in, backscatterer IPs) Bloque les serveurs de messagerie mal configurés qui envoient des notifications de non-distribution (NDR) à des victimes de spam. Utile si vous gérez un serveur mail.
Volume approx. : ~50 000 à 100 000 IP.
becyber (in, malicious attacker IPs) Liste de réputation ciblant les attaquants actifs identifiés par la communauté BeCyber. Indispensable pour bloquer les tentatives d’intrusion furtives.
Volume approx. : ~1 000 à 5 000 IP.
binarydefense (in, binary defense banlist) Fournie par Binary Defense, elle contient des adresses IP de serveurs de commande et de contrôle (C2) de malwares connus. Protection proactive contre l’exfiltration.
Volume approx. : ~1 500 à 4 000 IP.
bogon (in, bogon prefixes) Bloque les adresses IP qui ne devraient pas exister sur l’Internet public (non allouées). Empêche l’usurpation d’identité réseau (spoofing).
Volume approx. : ~3 500 préfixes (réseaux).
bruteforceblock (in, bruteforceblocker IPs) Spécialisée dans l’identification des serveurs lançant des attaques par dictionnaire ou force brute. Protège l’accès SSH de votre mini PC.
Volume approx. : ~1 500 à 3 000 IP.
cinsscore (in, suspicious attacker IPs) Basée sur le score de réputation CI Security, elle écarte les « mauvais voisins » du web ayant un historique d’attaques répétées.
Volume approx. : ~5 000 à 15 000 IP.
country (in, country blocks) Le pilier de votre stratégie : permet de bloquer des zones géographiques entières (Chine, Russie, etc.) pour réduire radicalement la surface d’attaque.
Volume approx. : Des millions (selon les pays sélectionnés).
debl (in, fail2ban IP blocklist) Compilation d’adresses IP bannies par des instances Fail2ban à travers le monde. Très efficace contre les bots opportunistes.
Volume approx. : ~10 000 à 30 000 IP.
dns / doh (out, public DNS/DoH Server) Empêche vos appareils de contourner AdGuard Home en utilisant des serveurs DNS tiers ou chiffrés. Force le passage par votre filtrage local.
Volume approx. : ~500 à 1 000 serveurs connus.
drop (in, spamhaus drop compilation) Liste « Don’t Route Or Peer » de Spamhaus. Elle regroupe des réseaux entiers contrôlés par des cybercriminels. Blocage très sûr (peu de faux positifs).
Volume approx. : ~800 à 1 200 réseaux.
dshield (in, dshield IP blocklist) Les « Top 20 » des sous-réseaux les plus suspects détectés par le centre d’infologie SANS. Une défense historique et robuste.
Volume approx. : ~20 à 50 réseaux critiques.
etcompromised (in, ET compromised hosts) Liste d’Emerging Threats répertoriant les serveurs légitimes infectés par des malwares. Évite que vos machines ne « discutent » avec des sites compromis.
Volume approx. : ~1 000 à 2 000 IP.
feodo (in, feodo tracker) Cible spécifiquement les botnets bancaires (Emotet, Dridex). Cruciale pour protéger vos accès aux banques françaises.
Volume approx. : ~500 à 800 IP.
firehol1, 2, 3 & 4 (compilations) Niveaux de filtrage progressifs. La firehol3 est le meilleur compromis sécurité/confort. La 1 et la 2 sont très agressives.
Volume approx. : De 15 000 (L3) à +500 000 (L1).
greensnow (in, suspicious server IPs) Une liste « vivante » qui surveille les serveurs tentant de se connecter à des ports sensibles de manière globale. Très réactive.
Volume approx. : ~1 000 à 3 000 IP.
hagezi (out, Threat IP blocklist) Excellente liste de sortie pour empêcher vos appareils de contacter des serveurs de télémétrie, de publicités intrusives ou de phishing.
Volume approx. : ~20 000 à 50 000 IP.
ipblackhole (in, blackhole IP blocklist) Regroupe des adresses IP identifiées comme malveillantes par plusieurs sources de confiance. Un filet de sécurité supplémentaire.
Volume approx. : ~2 000 à 4 000 IP.
ipexdbl (in, IPEX dynamic blocklists) Liste dynamique se concentrant sur les attaques de type scan de ports et tentatives d’exploitation de vulnérabilités web.
Volume approx. : ~5 000 à 10 000 IP.
ipsum (in, malicious IPs) Une liste agrégée qui n’inclut que les IP apparaissant dans au moins 3 sources de menaces différentes. Très peu de faux positifs.
Volume approx. : ~15 000 à 25 000 IP.
ipthreat (in, hacker and botnet IPs) Se concentre sur les infrastructures utilisées par les hackers pour piloter des botnets à distance.
Volume approx. : ~5 000 à 12 000 IP.
myip (in, real-time IP blocklist) Analyse les menaces en temps réel pour offrir une barrière immédiate contre les nouveaux attaquants détectés sur le réseau.
Volume approx. : ~5 000 à 10 000 IP.
proxy / vpn / vpndc (in, anonymity services) Bloque les accès via des proxies, VPN ou datacenters. Utile pour empêcher des attaquants de masquer leur origine réelle.
Volume approx. : ~100 000 à 300 000 IP.
threatview (in, malicious IPs) Fournit une vision large des menaces : malwares, phishing et serveurs C2. Très complémentaire à Firehol.
Volume approx. : ~50 000 à 100 000 IP.
tor (in, tor exit nodes) Bloque les nœuds de sortie du réseau Tor. Empêche les utilisateurs anonymes d’accéder à votre réseau.
Volume approx. : ~1 500 à 2 500 IP.
turris (in, turris sentinel blocklist) Données collectées par les routeurs Turris Sentinel (honeypots). Très efficace car elle reflète les attaques réelles sur des routeurs.
Volume approx. : ~5 000 à 8 000 IP.
uceprotect1, 2, 3 (spam protection) Niveaux de protection contre le spam. Le niveau 1 bloque les IP individuelles, le niveau 3 bloque des fournisseurs entiers.
Volume approx. : Très variable (jusqu’à plusieurs millions en L3).
urlhaus (in, urlhaus IDS IPs) Identifie les adresses IP hébergeant des exécutables malveillants. Indispensable pour votre configuration « Cerbère ».
Volume approx. : ~5 000 à 8 000 IP.
