Marcin Kwiatkowski wrote:
> kiedy dostaję informację z arbuza futuro "przesyłam informację na temat
> spamu. proszę zaprzestać jego wysyłania" i poniżej link do np (głównie)
> spamcopa, gdzie wszystkie informacje, które pozwoliły by mi namierzyć
> zadymiacza poza timestampem zostały usunięte (co też rozumiem), to niby
> jak mam ustalić źródło pochodzenia takiego robala? Wiem tylko, że o
> godz. tej a tej, coś wyszło przez łącza PF, a przedstawiło się HELO
> jednym z naszych DSL'i (które służą do proxy) - bo robale sprawdzają
> przez WWW swój IP. Logi proxy z jednego dnia to ok. 10mln. linii. Logi
> flag SYN z jednej doby zajmują 60mln. linii. Więc żeby wychwytywać
> takich ludków musiał bym nic innego nie robić tylko czytać logi, żeby
> _może_ po tygodniu namierzyć jednego dymiącego. Inaczej gdyby wszyscy
> mieli adresy publiczne. Wówczas, jak jakiś ptyś trafi na spamtrapa, to
> DOKŁADNIE wiem kto (i w ciągu 10 sekund znika mu usługa SMTP).
> Postawienie własnego proxy SMTP też nie jest najlepszym rozwiazaniem,
> ponieważ nie każdy serwer przyjmie połączenie z proxy (owszem, były
> takie próby, ale bardzo dużo klientów narzekało na niedziałającą
> pocztę).
Jakie 60mln linii? Co Ty p...sz?
Kto Ci każde dociekać na podstawie raportu SpamCopa konkretnego
użytkownika odpowiedzialnego za konkretnego spama?
Tu działa statystyka. Masz x misiów, którzy spamują. Tak, wiadomo,
że w dzisiejszych czasach w dużej sieci nie da się dojść do x=0.
Wystarczy, że zaczniesz podglądać ruch bieżący i wycinać ich
sam, bez czekania na raporty SpamCopa. Jest spora szansa, że
przy okazji załatwisz i tego, na którego przyszedł raport...
Popularne systemy operacyjne jak Linux czy *BSD umożliwiają Ci
limitowanie liczby połączeń na określony port. Nawet jak masz
rutery sprzętowe (jakoś wątpię), to możesz zrobić port monitoring
i sniffować ruch np. wyłapując rate'm na porcie 25 hosty wysyłające
za dużo pakietów SYN na minutę. Potem możesz tym nakarmić firewalla
i wygenerować misiowi przekierowanie WWW na stronę z monitem.
> się nie będę. Zapraszam do firmy i oferuję miesięczną pensję za
> rozwiązanie problemu. Bo kilka niezależnych osób po zapoznaniu się z
A może być student, zdalnie?
-- Paweł MałachowskiReceived on Fri Aug 25 17:45:10 2006
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Fri 25 Aug 2006 - 18:40:03 MET DST