Marcin Kulas wrote:
> Jest to jaki艣 argument, ale wtedy Ty masz wi臋cej roboty, jak kto艣
> z Twojej sieci narozrabia (a w du偶ych sieciach dzieje si臋 to co chwil臋)
> i to do Ciebie nale偶y potem szukanie kto danego dnia o danej godzinie
> mia艂 podany IP, by urwa膰 艂eb abuserowi i nasika膰 do szyi, a potem jeszcze
> dyskutowa膰 z poszkodowanymi.
> Je艣li tego nie b臋dziesz robi艂, to trachn膮 Ci ca艂膮 pul臋 i wtedy mo偶esz
> mie膰 problem z utrzymaniem klient贸w, kt贸rym poczta/cokolwiek przestanie
> do 艣wiata dociera膰.
> W przypadku sta艂ego IP dajesz strzelb臋 w r臋ce poszkodowanego. Je艣li chce,
> mo偶e wyci膮膰 w pie艅 jeden IP i obie strony maj膮 mniej roboty.
>
Dzier偶aw臋 tj, dok艂adny czas, adres ip, mac CPE oraz modemu kablowego 艂adnie
zrzucam sobie do Postgres-a. I od tego momentu identyfikacja szkodnika to
mniej ni偶 minuta. Przed spoofingiem zabezpieczaj膮 jeszcze inne techniki.
Jak kto艣 korzysta z radius-a i pppoe to s膮 nawet dost臋pne gotowe
rozwi膮zania. Je偶eli chodzi o strzelb臋 to ma ona niestety du偶y rozrzut:
ostatnio mam problemy z firm膮 trend micro, kt贸ra umie艣ci艂a mi 1 adres na
rbl (jeszcze w 2006, bo by艂 tam nat dla user贸w, teraz jest firmowa poczta,
od lat adres jest czysty) a niekt贸re osoby musz膮 wysy艂a膰 maile do
instytucji, kt贸re z oprogramowania tej, niepowa偶nej, firmy korzystaj膮.
> Gdybm chcia艂 zg艂asza膰 ka偶dy spam do abuse/CERT-u, musia艂bym to robi膰
> automatycznie. Najprawdopodobniej po kilku dniach zosta艂bym sam wyci臋ty
> za spamowanie ich skrzynek. Du偶o pro艣ciej i szybciej jest wycina膰
> od r臋ki u siebie. Abuse/CERT bym zostawi艂 na grubsze incydenty.
>
> Kiedy艣 z automatu karmi艂em SpamCopa. Sprawno艣膰 takiego mechanizmu
> by艂a 艣rednia w por贸wnaniu z tym czego u偶ywam teraz.
> Bardziej mi si臋 op艂aca utrzymywa膰 w艂asnego RBL-a, kt贸rego karmi臋
> tym czym chc臋, a potem zasilam nim wszystkie swoje maszyny. Mniej
> roboty i false positives, a wi臋cej po偶ytku dla klient贸w.
>
Co do zg艂osze艅 CERT to narazie mo偶na powiedzie膰 偶e si臋 bardzo nudz臋.
Ostatnie mia艂em podczas akcji "Simone". Pewnie to zas艂uga tego 偶e ze
spambotami w swojej sieci walcze sam. Oczywi艣cie za pomoc膮 automat贸w jak
najbardziej. R贸偶nica jest taka 偶e ja zawsze wiem kogo zbanuje, a dla ciebie
to b臋dzie tylko adres IP za kt贸rym po 2h, albo nawet w tej chwili je偶eli to
NAT, mo偶e si臋 kry膰 niewinna osoba. W ipv6 b臋dzie to mo偶na pewnie o 180
stopni odwr贸ci膰, ale do tego d艂uga droga.
My艣l臋 偶e powinno powsta膰 ujednolicone prawo i procedury post臋powania ze
zg艂oszeniami.
Received on Mon Nov 3 01:35:03 2008
To archiwum zosta硂 wygenerowane przez hypermail 2.1.8 : Mon 03 Nov 2008 - 01:40:01 MET