Inderdaad een interessante vaststelling. De cloudflare website (https://support.cloudflare.com/hc/en-us/articles/203366080-Why-do-I-see-a-captcha-or-challenge-page-Attention-Required-trying-to-visit-a-site-protected-by-CloudFlare-as-a-site-visitor-) geeft zelf de volgende uitleg voor dit soort gevallen:
1. Er word vanuit het gebruikte ip malicious activiteit waargenomen.
2. De eigenaar van de site blockt het land van het IP.
3. De acties die je doet op de site triggeren een firewall.
Met de aanname dat security.nl niet alle landen behalve Rusland blockt en dat je niet bezig was security.nl te hacken ;-) blijft alleen optie 1 over.
Blijkbaar word er op TOR-nodes in Rusland aanmerkelijk minder malicious activiteit waargenomen, maar waarom? Ik denk dat dat de kernvraag is.
Een uitleg zou kunnen zijn, dat de individuen die malicious zaken doen via TOR vooral uit Rusland komen, en op deze manier willen voorkomen dat hun overheid dit in de gaten kan houden, hoewel je naast de exit nodes natuurlijk nog 2 hops hebt.
Of misschien dat de nodes uit Rusland een kortere levensduur hebben waardoor ze nog niet op de 'blacklist' van cloudflare zijn terechtgekomen.