Re: TP nie lubi GIMPa czy co?

> Na razie znowu tez wyciela irc.pl :)

Dobry Wieczor w Nowym Roku,

Tak sobie czytam watek, i powolutku dochodze do wniosku, ze czesc osob nie
do konca rozumie istote tego co sie wydarzylo w ostatnim czasie. Jesli
pozwolicie bedzie przeglad wybranych postow, bo nie chce mi sie dopisywac
po 3 zdania do 40 postow. Kolejnosc odpowiedzi dosc przypadkowa, bardziej
wynikajaca z kolejnosci czytania przeze mnie postow niz z czegokolwiek
innego. Prosze wiec nie brac mi za zle, ze kogos skomentowalem, a kogos
innego nie :-) To nic osobistego.

Pawel Tyll napisal:

> Nie jest to w adnym wypadku uzasadnienie, by wycinaserwery IRC, bo kto ich uywa do wydawania komend botom.

Postawiona przez Ciebie teza nie jest prawdziwa. Serwery IRC nie sa
wycinane. Najlepszym dowodem na to jest poprawnie pracujacy irc.efnet.pl,
pomimo blackholingu. Prawdziwe twierdzenie powinno brzmiec "wycinane sa
serwery IRC, co do ktorych zostalo potwierdzone, ze korzystaja z nich
botnety rozsylajace spam"

Jacek Zapala napisal:

> A moesz rozwino tych otwartch serwerach co sprzyjaj? Oczywicie w kontekcie sania spamu przez typowego zombie do docelowych serwer.

Podalem irc.efnet.pl jako kontrprzyklad. Nie zalapalem sie na blackholing
pomimo iz mam uzytkownikow niekoniecznie mniej niz ircnet. Ponizej jest
wyjasnienie jak na efnecie podchodzimy do tego problemu.

michalj napisal:

>> Dobrze znane 5617:997 ;)
>
> I to ju wszystko tumaczy?
>
> No kurde, jako nie posdzam strony gimpa o pornografidzieci czy inne przeststwa.
>
> I nic siju nie daje nawet nie zaatwi ale choy dowiedzieprywatnymi, czy
prywatnymi kanaami, Konrad P. mnie odesa do standardowego abuse, a ono chyba do /dev/null.."

Michale, wpuszczanie botnetow, ktore rozsylaja spam, to takie samo
'przewinienie' jak scigane juz od paru lat open-relay'e! Dzis nie
znajdziesz powaznego serwisu, ktory przyjmowalby poczte skadkolwiek i bez
zadnej weryfikacji wysylal ja dalej (a przeciez 15 lat temu wszyscy tak
zesmy robili!). Ciezko znalezc tez serwis, ktory nie oferuje swoim
uzytkownikom ochrony w zakresie filtrowania poczty przychodzacej (kilka
lat temu filtrowanie czegokolwiek budzilo podobne protesty!). Swiat sie
zmienia. Protokoly sa niedoskonale, bo w chwili ich tworzenia nikt nie
pomyslal o radosnej tworczosci marketoidow, ktorzy zmieniaja nasz swiat w
papke, twierdzac ze sa innowacyjni. Musimy (my, technika) dostosowywac sie
i reagowac, bo za chwile utoniemy. Zalatwiac tu nie ma co - reguly sa
znane, a blacklista tworzona automatycznie. Nie jest ciezko wymyslec co
zrobic, zeby nie byc blackholowanym. Dalszy rozwoj wydarzen zalezy tylko i
wylacznie od sprawnosci dzialania admina (jesli uda mu sie rozwiazac
problem botnetow to w ciagu kilku dni nie bedzie juz blackholowany - z
automatu, bez ingerencji kogokolwiek wiecej!) oraz sprawnosci nacisku
uzytkownikow (jesli beda gnebic admina, to moze w koncu cos z tym zrobi).

dalej michalj pisze:

> I TEN KONKRETNY serwer jest kontrolerem jakiego botneta?

Tak! Jesli widzisz 997 to znaczy ze 'zlapal' odpowiedni score! W chwili
obecnej reguly sa i tak dosc mocno obnizone. Blackholowane sa IPki ktore
"w ciagu ostatnich 15 min obslugiwaly botnet, ktory rozeslal spam, ktory
pojawil sie w wiecej niz jednej sondzie na swiecie". Dane sa sciagane z
kilku zrodel i kompilowane w spojna liste adresow, z dolozonym score
(zainteresowanym moge podac szczegoly). *Wszystkie* IP, ktore spelniaja
wyrazenie (prawie regularne) w cudzyslowiu sa blokowane automatycznie.
Przyznasz, ze to dobre kryterium?

> Czy po prostu TP blokuje wszystko z literami IRC w nazwie, bo tak im wygodniej?

Skadze znowu. Nie sadze ze komukolwiek przyszloby nawet do glowy skanowac
ilestam adresow IP w kierunku istnienia (lub nie) uslugi IRC. Zasady
blokowania opisalem (mniej wiecej) powyzej. Co ciekawe, sa (takze w
Polsce) duze, publiczne sieci IRC, ktore maja score 0, i poprawnie
dzialaja z sieci TP w najlepsze! Zeby bylo smieszniej nie sa na zadnej
whiteliscie, tylko same skutecznie bronia sie przed botnetami. Wiekszosc z
tu piszacych zapewne nie ma dostepu do komunikatow z serwera na efnecie,
wiec w ramach zajec edukacyjnych ;-) pozwole sobie wkleic maly fragment:

20:22 !irc.efnet.pl *** Notice --
pldm!dronemon2@dronemon.irc.efnet.pl{dronemon} added temporary 14400 min.
D-Line for [86.12.60.129] [(r47/36502) drone]
20:22 !irc.efnet.pl *** Notice -- DLINE active for
bahurim[~andrew0@cpc4-derb9-0-0-cust128.leic.cable.ntl.com]
20:25 !irc.efnet.pl *** Notice --
plDK!dronemon2@dronemon.irc.efnet.pl{dronemon} added temporary 86400 min.
K-Line for [*@24.167.136.211] [Use another server.]
20:25 !irc.efnet.pl *** Notice --
pldm!dronemon2@dronemon.irc.efnet.pl{dronemon} added temporary 14400 min.
D-Line for [24.167.136.211] [(r47/36503) drone]
20:25 !irc.efnet.pl *** Notice -- DLINE active for
chiquita[~creditin@cpe-024-167-136-211.triad.res.rr.com]
20:26 !irc.efnet.pl *** Notice --
pldm!dronemon2@dronemon.irc.efnet.pl{dronemon} added temporary 14400 min.
D-Line for [67.232.93.166] [(r47/36504) drone]
20:26 !irc.efnet.pl *** Notice -- DLINE active for
bqi[drakon@tn-67-232-93-166.dhcp.embarqhsd.net]
20:26 !irc.efnet.pl *** Notice --
plDK!dronemon2@dronemon.irc.efnet.pl{dronemon} added temporary 86400 min.
K-Line for [*@67.232.93.166] [Use another server.]
20:26 !irc.efnet.pl *** Notice --
TOR-OPM!tor@eversible.bopm{irc.eversible.com} added temporary 1440 min.
K-Line for [*@92.61.67.57] [TOR proxy found. See
http://rbl.efnetrbl.org/?i=92.61.67.57 for details.]
20:30 !irc.efnet.pl *** Notice --
pldm!dronemon2@dronemon.irc.efnet.pl{dronemon} added temporary 14400 min.
D-Line for [76.180.200.159] [(r47/36505) drone]
20:30 !irc.efnet.pl *** Notice -- DLINE active for
crdec5[admissio@cpe-76-180-200-159.buffalo.res.rr.com]
20:30 !irc.efnet.pl *** Notice --
plDK!dronemon2@dronemon.irc.efnet.pl{dronemon} added temporary 86400 min.
K-Line for [*@76.180.200.159] [Use another server.]
20:34 !irc.efnet.pl *** Notice --
TOR-OPM!tor@eversible.bopm{irc.eversible.com} added temporary 1440 min.
K-Line for [*@79.165.94.162] [TOR proxy found. See
http://rbl.efnetrbl.org/?i=79.165.94.162 for details.]
20:35 !irc.efnet.pl *** Notice --
TOR-OPM!tor@eversible.bopm{irc.eversible.com} added temporary 1440 min.
K-Line for [*@89.149.242.137] [TOR proxy found. See
http://rbl.efnetrbl.org/?i=89.149.242.137 for details.]
20:35 !irc.efnet.pl *** Notice --
TOR-OPM!tor@eversible.bopm{irc.eversible.com} added temporary 1440 min.
K-Line for [*@88.219.227.119] [TOR proxy found. See
http://rbl.efnetrbl.org/?i=88.219.227.119 for details.]
20:36 !irc.efnet.pl *** Notice --
TOR-OPM!tor@eversible.bopm{irc.eversible.com} added temporary 1440 min.
K-Line for [*@63.249.15.2] [TOR proxy found. See
http://rbl.efnetrbl.org/?i=63.249.15.2 for details.]
20:37 !irc.efnet.pl *** Notice --
TOR-OPM!tor@eversible.bopm{irc.eversible.com} added temporary 1440 min.
K-Line for [*@213.112.173.37] [TOR proxy found. See
http://rbl.efnetrbl.org/?i=213.112.173.37 for details.]
20:38 !irc.efnet.pl *** Notice --
plDK!dronemon2@dronemon.irc.efnet.pl{dronemon} added temporary 86400 min.
K-Line for [*@67.181.210.179] [Use another server.]
20:38 !irc.efnet.pl *** Notice -- dubkat!dubkat@oxy.moron on irc.vel.net
is requesting gline for [*@c-98-232-83-177.hsd1.wa.comcast.net]
[spamming/flooding]
20:38 !irc.efnet.pl *** Notice --
pldm!dronemon2@dronemon.irc.efnet.pl{dronemon} added temporary 14400 min.
D-Line for [67.181.210.179] [(r47/36506) drone]
20:38 !irc.efnet.pl *** Notice -- DLINE active for
attainer[~caddric@c-67-181-210-179.hsd1.ca.comcast.net]
20:40 !irc.efnet.pl *** Notice --
TOR-OPM!tor@eversible.bopm{irc.eversible.com} added temporary 1440 min.
K-Line for [*@64.105.21.209] [TOR proxy found. See
http://rbl.efnetrbl.org/?i=64.105.21.209 for details.]

W miare samokomentujace. Jak widac na zalaczonym obrazku, na efnecie
dzialaja sobie automaty (5), ktore pobieraja dane z roznych zrodel, i
automatycznie czasowo odcinaja uzytkownika, ktory podczas weryfikacji przy
polaczeniu spelnil okreslone kryteria, lub znajduje sie w jednej z baz. To
powoduje, ze irc.efnet.pl ma score 0, to znaczy wedlug zastosowanego
algorytmu zaden zarejestrowany botnet nie rozsyla spamu korzystajac z tego
serwera. Serwer jest wciaz publiczny i ogolnodostepny. Zapraszam :-) Dla
ulatwienia dodam, ze mechanizm ten funkcjonuje znacznie wczesniej, niz
ktokolwiek w TP pomyslal o blackholingu :-) Z mojego punktu widzenia jest
to doskonale potwierdzenie slusznosci stosowanej przez efnet polityki: nie
uznaniowe k-linie 'carewicza operatora' (imie cara nalezy wpisac samemu
dowolne), tylko automaty pracujace wedlug scisle okreslonych kryteriow.

Zainteresowanych szczegolami prosze o kontakt (znalezienie mnie na IRCu,
GaduGadu czy adresu e-mail do mnie nie jest trudnym zadaniem) - chetnie
wyjasnie w jaki sposob dzialaja efnetowe automaty, jak je zainstalowac w
swojej sieci, skad mozna brac dane i po co to wszystko. To naprawde nie
jest trudne, aby miec u siebie w sieci IRC porzadek. Score w ciagu
tygodnia spadnie do 0, nie bedzie zadnego balckholowania, a dodatkowo
wszyscy bedziemy zyc w lepszym swiecie, bez spamujacych botnetow. Bez
zadnych dzialan ze strony TP, w obecnie istniejacym swiecie i srodowisku.
Nie jest prawda ze stan obecny jest dobry, i NIEDASIE nic z tym zrobic.
CBDU.

> To czemu, psiakrew, portu 25 nie zablokuj?

A zgadnij kto po takiej blokadzie, jeszcze tego samego dnia, rozpoczalby
postepowanie antymonopolowe, z powodu razacego ograniczenia mozliwosci
wyboru dostawcy uslug pocztowych w sieci operatora dominujacego, zadajac
wielomilionowej kary? :-) Jak juz zgadniesz, to podpowiem, ze dzialania
tejze przypominaja ostatnimi czasy nieco dzialania oszolomiastych zwiazkow
zawodowych. To, ze zostanie uchwalone, ze pracownik ma zarabiac milion
zlotych i jest niezwalnialny nie bedzie oznaczalo, ze bedziemy bogaci i
bedziemy miec gwarancje pracy. Bedzie oznaczalo, ze zanim rzeczone
przepisy weszlyby w zycie to wszyscy zostalibysmy wypi*leni z pracy. Taka
niedzwiedzia przysluga. Analogicznie dziala regulator w odniesieniu do
mozliwosci przeciwdzialania niektorym zagrozeniom. Rozwiazanie z wycieciem
25 jest moze proste, ale czy zagwarantujesz ze Szanowna Pani nie
rozpocznie takiego postepowania? Zreszta, pamietam dzialania regulacyjne
jeszcze z czasow gdy budowalem z kolegami ATMANa - nierzadko bywalo tak,
ze ludzie z TP tarzali sie po podlodze chichrajac szalenczo, gdy
zaproponowana regulacja doskwierala bardziej nam, konkurencji, niz
dominujacemu. Bylo to dosc typowe, i swiadczylo o malej wiedzy na temat
rynku i techniki u Regulujacej. Czytajac niektore propozycje wystarczylo
zerknac np. na aktualne statystyki ruchu operatorow, by wiedziec, kto
podpowiadal dana regulacje. Zeby bylo smieszniej bylo to kompletnie
uznaniowe i roslo wraz ze wzrostem operatorow. Peering od 100, 250,
500Mbit/s? ;> Nie wiadomo dlaczego akurat 100, a nie 100000 albo 1 ;-)
Szczytem byla pamietna proba wprowadzenia regulacji peeringu, ktora (jak
sie chwile pomyslalo) brzmiala mniej wiecej tak: "TPSA musi sie peerowac
ze wszystkimi za darmo, a nalezy placic za ruch do (tu wpisz nazwe
polskiego komunikatora internetowego, ktorym nie jest GaduGadu)".
Dzialania w stosunku TP podejmowane na zasadzie "im gorzej tym lepiej"
prowadza wylacznie do deregulacji naturalnych mechanizmow rynkowych i
powoduja, ze woda zaczyna plynac do gory. Zreszta Komisja Europejska i
sady zdaja sie nie podzielac entuzjazmu Regulatora.

Reasumujac:

1. Nie jest prawda, ze TPSA blokuje IRC -> nie robi tego, na co dowodem
jest poprawnie dzialajacy irc.efnet.pl

2. Blokowane sa serwery IRC (dowolne), ktore spelniaja okreslony algorytm.
Robione jest to w pelni automatycznie wedlug precyzyjnych kryteriow. Jesli
jakis IP zostal zablokowany, to oznacza to, iz dzialaja na nim botnety
rozsylajace spam. Jest to potwierdzane na kilka sposobow (honeypoty, sondy
ruchu smtp).

3. Nie jest prawda, ze nie da sie z tym nic zrobic. Wystarczy zapewnic
ochrone przed botnetami rozsylajacymi spam. Jesli spam nie bedzie przez
dany serwer rozsylany, to po max 7 dniach automatycznie zniknie z
blacklisty.

4. Nie jest prawda, ze NIEDASIE wykonac punktu 3, na co dowodem jest znow
irc.efnet.pl. Dziala. Wywala boty. Co wiecej - nikt nie protestuje :-)

5. Jesli ktos nie wie jak to zrobic, to poprosze o kontakt. Pomozemy. Na
efnecie automaty usuwajace tych co nie powinni korzystac z uslugi dzialaja
od lat, i twierdze iz sa dosc dopracowane.

6. Jesli komus nie dziala ulubiony serwer IRC, to proponuje zglosic sie do
admina, zeby zrobil z nim porzadek. Wowczas calkowicie automatycznie
zostanie usuniety z blacklisty i bedzie mozna z niego korzystac.

7. Winna nie jest TP, tylko balagan na serwerach, skoro istnieja serwery i
sieci, ktorych ten problem nie dotyczy. Proponuje skierowac dyskusje w
kierunku adminow serwerow wpuszczajacych botnety, a nie TP ktora wreszcie
zaczela robic u siebie porzadek. Krytykanctwo w kazdej sytuacji (jak
zrobia to zle, jak nie zrobia to tez zle) nie prowadzzi do niczego
konstruktywnego.

8. Rozwiazania poboczne w rodzaju wyciecie 25 nie sa mozliwe, z powodow
pozatechnicznych.

pozdrawiam i najlepszego w nowym roku,
k.

--------------------------
po czym poznac ze kobieta juz jest gotowa?
jak wkladasz reke w majtki to czujesz jakby kon jadl ci z reki
Received on Thu Jan 1 22:10:03 2009