Ivanovo Linux Users Group -  
Форум Помощь Поиск Вход
Предыдущая Следующая Вверх Тема Администрирование / Работа с сетью / Борьба со спамом (11636 хитов)
- Написал(а) Green_aciD Дата 14.09.07 21:45
Ситуация такова - появляется какой то червь/вирус на юзерском компе, к-рый начинает гадить в сетку, причем очень активно. Пытается спамить по черному, в итоге имеем кучу smtp сессий, кучу ненужного трафика => кучу проблем. Выявляются такие звери путем запуска в ручную пакетного снифера, а проблема решается путем добавления на рутерах правил типа:
iptables -I FORWARD N# -s 10.20.30.40 -p tcp --dport 25 -j REJECT --reject-with icmp-admin-prohibited или просто DROP (всё)

В идеале хотелось, что бы неприятель блокировался сразу при появлении подобного рода трафика. Но как это осуществить, вот вопрос..
Например, сваливать в файло результаты анализа сетевой активности (в рамках необходимых критериев), смотреть файло, и на основе полученных данных и нужных условиях добавлять правила.
Ни кто не сталкивался с подобной проблемой?
Parent Написал(а) G0thic Дата 15.09.07 08:52
iptables -A FORWARD -m recent --name spamer --rcheck --seconds 3600 -j DROP #создаем динамический лист
iptables -A FORWARD -p tcp --dport 25 -m recent --name spamer --set -j DROP #пихаем туда пользователя, как только начинает гадить
Периодически можно брать айпишнеки уродов из /proc/net/ipt_recent/ чтобы скриптом выключать им порты.
Когда кругозор человека сужается к минимуму, он называет это своей точкой зрения.
Parent - Написал(а) LOE (Site/forum admin) Дата 15.09.07 18:33
Разноплановая задача
Если это подконтрольная сеть, то надо браться с другой стороны: не допускать попадания червей на юзерский комп. Как - зависит от многого.
Если это чужая сеть - то на кой пользуется твоим smtp-сервером? Открывать доступ только доверенным.

Ну и еще вариант, в добавок от вышеизложенного:
на smtp сервере проверять параметры "helo(ehlo)", "от кого", "кому", "IP отправляющей машины". При наличии подозрительности - блокировать (первый претендент на подозрительнсть - параметр helo отправителя).
Можно воспользоваться технологией grey-list в том числе и на внутреннюю сеть. Обязательно объяснив своим пользователям, что отправка _их_ писем наружу будет иметь задержку. (подробнее о grey-list найдешь на форуме поиском)
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent - Написал(а) Green_aciD Дата 15.09.07 18:52
Привет.
Сори, не точно изложил ситуацию. Речь идёт о довольно крупной сети, в к-рой есть много зверей и есть гейтвей(и), через к-рые и осуществляется выход в интернет. Про smtp серверы вариант не рассматривается. Про не допускание таких ситуаций путем предотвращения попадания всякой гадости/лечения юзерских компов тоже нет.
Parent - Написал(а) LOE (Site/forum admin) Дата 15.09.07 19:55
Не понял.
То ты пишешь:

> в итоге имеем кучу smtp сессий


а теперь:

> Про smtp серверы вариант не рассматривается.


Про что же все-таки речь? Уточни.

Если внутренняя сеть не подконтрольна, то её надо рассматривать как враждебную и задействовать все ресурсы, в частности, grey-list, который рубит рассылку спама на 80-90%
А так-же, black лист на основе DNS, занося в него по различным критериям. Самое главное - определиться с этими критериями (адреса, количество писем в час, helo и тп)
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent - Написал(а) Green_aciD Дата 15.09.07 20:57
Сейчас речь идет о неконтролируемой сети без использования smtp серверов.
Parent Написал(а) LOE (Site/forum admin) Дата 16.09.07 17:00
Руби весь исходящий smtp трафик
Открывай только тем, кому "можно" - раз можно спокойно заблокировать "кого-то", значит можно заблокировать _всех_.

Лучший вариант - ставить на шлюзе smtp сервер и или предложить использовать его, или насильно заводить исходящий smtp трафик на него.
В результате - контроль по вышеозвученным параметрам.

Если сеть неконтролируема, тебе то какой резон следить за ней?
Пусть пользователи и оплачивают свой трафик, раз не могут искоренить у себя троянов.

Контроль на основе resent (активности smtp обращений) не всегда хорош, поясню:
мне надо разослать информацию на 100 реальных подписчиков, рассылка делается или очень быстро вручную, или автоматизированно.
В результате от меня открывается кучка smtp коннектов, на шлюзе срабатывает проверка и меня блокируют.
В результате, я начинаю сильно жаловаться и требовать компенсации за то, что не смог вовремя отправить всем своим подписчикам информацию.

PS. опять не расписаны более детально условия задачи. А нам тут гадай, что же тебе надо...
То можно отловить спам через tcpdump, то нельзя использовать свой smtp сервер. Определись все-же, что _надо_ и что _можно_
"No! Try not! Do. Or do not. There is no try." -- Yoda
Предыдущая Следующая Вверх Тема Администрирование / Работа с сетью / Борьба со спамом (11636 хитов)

Powered by mwForum 2.12.0 © 1999-2007 Markus Wichitill

Page created in 0.082s with 10 database queries.