On 07.01.2009, Krzysztof Halasa <khc@pm.waw.pl> wroted:
>> Ja nie rozumiem. Dlaczego mia艂by nie zmieni膰, skoro te "jakie艣 serwery"
>> to te, do kt贸rych id膮 po艂膮czenia kontrolne botnet贸w? Kto艣 nie wy艣le spamu,
>> kto艣 nie podkradnie loginu mbanku, kto艣 nie poszpieguje, kto艣 nie zrobi
>> DDoSa itp.
>
> W poboznych zyczeniach, moze tak. Te wlasnie "jakies serwery" moga byc
> wykorzystywane, ale w zadnym przypadku nie sa niezbedne, ani nawet
> jakos bardzo potrzebne do tego calego procederu.
Wiesz, to mi przypomina takie bardzo autorytatywne i stuprocentowo logiczne
dowody na to, 偶e greylisting SMTP nie ma prawa dzia艂a膰, bo co za problem
zaimplemenetowa膰 obs艂ug臋 450 w maszynkach do spamu. Trudno si臋 nie zgodzi膰
z argumentami, 偶e jest to karanie w艂asnych user贸w, 偶e nieskuteczne, 偶e na
kr贸tk膮 met臋 itp. Przeciwnicy maj膮 oczywi艣cie racj臋, a ja mam rz膮d wielko艣ci
mniej spamu w poczcie. Nie ma prawa dzia艂a膰, a jako艣 dzia艂a od ju偶 chyba
dw贸ch lat. To co Rafa艂 pisa艂 o fast-fluksie i rzekomym wymarciu kontroli
botnet贸w przez IRC 艂adnie do tego pasuje.
>>> Natomiast tu mamy do czynienia z dzialaniem _z_zalozenia_
>>> a) nieskutecznym (na dluzsza mete), b) wycinajacym normalna
>>> komunikacje normalnego (niezarazonego) usera z normalnymi
>>> (niezarazonymi itp) serwerami.
>>
>> Z serwerami kontroluj膮cymi botnety, je艣li pomin膮膰 zwyk艂e pomy艂ki.
>
> Co to znaczy "kontrolujacymi botnety"? Pozwalajacymi na polaczenie sie
> w charakterze uzytkownika IRC i pozwalajacymi na wymiane komunikatow
> z innymi uzytkownikami IRC?
Nie wiem, mia艂em wys艂a膰 do Karpia informacj臋, 偶e jestem zainteresowany
szczeg贸艂ami o kt贸rych pisa艂, ale jestem za g艂upi 偶eby znale藕膰 jego adres
email. O ile przeczyta艂em wszystko w w膮tku co jest istotne, scoring si臋
zaczyna nie wtedy, kiedy pozwalasz na te po艂膮czenia, ale kiedy 艂膮cz膮 si臋
do Ciebie wi臋ksze ilo艣ci zombies.
> Moze siec np. TPSA albo ich serwery DNS tez sa kontrolerami botnetow?
> A komunikatory i usenet? Skad wiemy czy boty nie wykorzystuja np. gg
> albo innego np. skype? Zreszta, pewnie jesli jeszcze nie wykorzystuja,
> to za chwile zaczna wykorzystywac - tyle, ze tego nie da sie tak latwo
> podsluchac i m.in., choc to slaby argument, dojsc po nitce do klebka,
> czyli do prawdziwego "kontrolera".
Jw. Nie wiemy na razie jak dok艂adnie dzia艂a algorytm, ale nie uwa偶asz,
偶e - odk艂adaj膮c na moment na bok p2p itd. - pierwsze sito ju偶 daje
sygna艂 do sprawdzenia danego IP? Je艣li nagle tysi膮c host贸w z r贸偶nych
dynamicznych pul, o kt贸rych wiadomo, 偶e rozsy艂aj膮 spam, zaczyna si臋
艂膮czy膰 skypem do jednego adresu IP, to naprawd臋 pomy艣la艂by艣, 偶e ot,
grupka znajomych chce sobie pogada膰?
>> Ale jaki jest zasadniczo argument za t膮 nieskuteczno艣ci膮? Nieskuteczne,
>> bo nie i koniec?
>
> Czyzbym pominal jakis szczegol?
Jak dla mnie, to pomin膮艂e艣 og贸艂. Owszem, ja si臋 zgadzam, 偶e filtrowanie
portu 25 jest lepszym rozwi膮zaniem. Ale nie rozumiem dlaczego z tej okazji
ucinanie kontroli botnet贸w mia艂oby by膰 nieskuteczne - zw艂aszcza, 偶e
ograniczenie si臋 do portu 25 pomija wszystkie inne poza spamem nadu偶ycia
jakie powoduj膮 zombies. Non sequitur, po prostu.
> Poza tym, zostal tu podany link do dowodu, nie jakiegos argumentu
> z ktorym mozna sie zgadzac lub nie.
W膮tek ma prawie 300 list贸w, zlituj si臋 i zacytuj.
GS
-- Grzegorz Staniak <gstaniak _at_ wp [dot] pl> Nocturnal Infiltration and Accurate KillingReceived on Wed Jan 7 02:10:13 2009
To archiwum zosta硂 wygenerowane przez hypermail 2.1.8 : Wed 07 Jan 2009 - 02:40:04 MET