我想在僵尸网络和 DDoS 上应该注意一些事情。

僵尸网络分布式系统的主要兴趣在于，您无法从真正的客户端中识别出僵尸程序。可以这样想：

设想

有人通过发送病毒感染了许多计算机。每个被欺骗的用户现在都是所谓的僵尸网络的一部分。假设您有 1 亿个机器人。

结果

IP 地址使用情况

这种情况意味着机器人的 IP 地址具有动态或静态 IP 地址，具体取决于其 ISP 策略。所以收集IP地址是没有价值的。迟早，游泳池将被更新。

分布式网络和识别

DDoS 以这种方式工作：您将要求每个机器人连接到一台服务器。问题：您如何知道他们是出于合法目的而尝试访问您的服务器，还是只是为了使您的连接池饱和？

鉴于此，由于您无法确定客户端是否是攻击的一部分，因此您无法编译分布式网络的可靠 IP 列表。

结论

虽然不是不可能，但我认为通过 IP 防止 DDoS 攻击是不可能的，因为存在两个暴露的挑战：使用真实标识符（IP 地址）和识别机器人。

也许如果一组服务器向主服务器报告实时攻击，那么来自该组机器人的下一次攻击很可能具有不同的 IP 地址。此外，如果某个 IP 曾出现在一个地址列表中，该 IP 曾尝试访问一台已知遭受 DDoS 攻击的服务器，则您不能拒绝访问您的站点，因为您将禁止与攻击无关的合法客户端。

顺便说一句，我从未听说过这样的清单。

TOR网络出口节点更容易识别。一些资源，如http://proxy.org/tor.shtml

Spamhaus XBL 是您想要的吗？

http://www.spamhaus.org/xbl/

Spamhaus Exploits Block List (XBL) 是一个实时数据库，其中包含受非法 3rd 方攻击感染的被劫持 PC 的 IP 地址，包括开放代理（HTTP、socks、AnalogX、wingate 等）、带有内置垃圾邮件引擎的蠕虫/病毒、和其他类型的特洛伊木马攻击。

它更关心垃圾邮件的发件人，但也许它有一些用处。

您可以通过 google 快速搜索找到 TOR 出口节点列表的链接。Spamhaus XBL 是一个很好的资源，我可能会利用天坑和其他选项来阻止 DoS 攻击。但正如我最近的任务是创建一个相当大的与恶意活动相关的 IP 和域列表，以用于另一个目的，无论是僵尸网络、垃圾邮件发送者、恶意软件有效负载、漏洞利用工具包和 DoS 攻击。一个很好的起始资源是 Lenny Zeltser 的列表，您可以在此处找到，尽管它变得有点过时了，但许多来源仍然存在。http://zeltser.com/combating-malicious-software/malicious-ip-blocklists.html

一些网站试图将所有恶意域和 IP 汇总到列表中，malwaredomains.com - 来自许多来源、垃圾邮件发送者、漏洞利用工具包等。

然后你会看到你付费加入的列表，我相信 Arbor 网络推出了一个，它们还有许多其他付费列表，虽然成本高昂，但显然有效。如果您在一家公司或特定行业工作，只要您遵守所有规则、章程和分享，您就可以找到共享信息的 ISAC 组，例如新的 DoS 源列表、僵尸网络 URL 等。我还强烈建议您阅读 ISC SIE，您可以在此处找到更多信息https://sie.isc.org/。

我希望其中一些资源可以帮助您搜索列表，但从每天维护一个非常大的列表的人那里获取，您应该利用其他资源来预防 DoS，因为它们更有效。

与@M'vy 的回答相关，您应该查看TorDNSEL

“TorDNSEL 是针对 Tor 出口节点的主动测试、基于 DNS 的出口列表的实现。”