FSF 如何用 reaction 对抗 Vo1d 僵尸网络

How the FSF sysadmins block botnets with reaction

85pseudolus💬 11

面对为训练 LLM 而疯狂爬取数据的攻击者,FSF 的系统管理员发现大量流量源自 Vo1d/Popa 僵尸网络,这些被攻陷的智能电视正沦为攻击工具。我们曾尝试用 fail2ban 配合 UFW 进行防御,但规则数激增导致系统性能下降。在探索过程中,我们引入了 ipset 并发现其能承载数百万条规则。最终,我们找到了一个名为 reaction 的开源项目,它比 fail2ban 更灵活且易于扩展。通过自定义配置和快速重启机制,我们成功构建了高效的防御体系,并将方案开源回馈社区。这一切都离不开像您这样的自由软件支持者,正是你们的贡献让我们能持续守护软件自由。

"如果没有像您这样的人持续投入,我们所取得的进步将岌岌可危,软件自由也可能从今天的现实沦为仅仅是一个愿望。"

HN 评论区

  • 有评论者质疑 FSF 在强调许可证政治中立的同时,却因政治立场排斥特定用户,认为这与其拒绝支持 Windows 等专有平台的历史行为逻辑一致,本质上是极度的政治化。
  • 一位从业者分享其防御经验,指出通过 `ip route add blackhole` 添加数十万条 CIDR 路由规则来屏蔽数据中心、VPS 和已知僵尸网络,比传统防火墙规则具有更低的 CPU 开销。
  • 针对 FSF 因坚持无 JavaScript 策略而无法使用 Anubis 等现代防护工具的情况,有用户指出 Anubis 其实支持基于 HTTP meta-redirect 的无 JS 验证机制(Proof of Patience)。
  • 有评论者反驳将 Popa SDK 视为恶意软件的观点,认为其是替代广告追踪的合法变现手段,FSF 对此持负面态度与其支持开发者摆脱追踪变现的初衷相悖。
  • 在技术选型上,有用户质疑 FSF 为何仍使用 iptables + ipset 而非性能更优、支持原生 sets 的 nftables,推测这可能是出于遗留系统惯性而非技术必要性。

同日更多故事 · 2026-07-14