yujin777 Posted March 31, 2008 Posted March 31, 2008 У меня стот проблема отлавливать спамеров в нашей сети иначе приходит предепреждение о том что IP могут забанить. Я пользую для этих целей утилиту tcpdump (сниффер) с таким синтаксисом tcpdump -n tcp[13]==2 and port 25 - тобиш 25 порт смотрю, потом смотрю какому клиенту принадлежит этот IP и блокирую эму 25-й порт на Микротике. Вот есть информация по tcpdump и еще некоторым подобным утилитам http://house.hcn-strela.ru/BSDCert/BSDA-co...#3.6.11-tcpdump. Вопрос: существуют ли другие утилиты, возможно с граф интерфейсом для решения данной задачи? Вставить ник Quote
MaksMMS Posted April 1, 2008 Posted April 1, 2008 (edited) в комплексе winbox для управления микротиком для такого анализа есть очень удобная графическая утилита Torch - которая показывает кто, куда, и зачем коннектится + сколько полосы в этот момент пожирает. Edited April 1, 2008 by MaksMMS Вставить ник Quote
mishasat Posted April 1, 2008 Posted April 1, 2008 Многоуважаемый максммс а подсоветуйте такую же утилиту под линукс, давным давно использовал, а теперь вот опять админить надо линух и забыл. Чем посмотреть реальную полосу загрузки по айпи по порту. Айпитраф делает но там только маки видно - очень не удобно при большом количестве оных. Вставить ник Quote
witch Posted April 1, 2008 Posted April 1, 2008 закройте 25 порт, поднимите свой почтовик, и пусть через него почту шлют(авторизация по ip) кто спам шлёт, тот в логах нарисуется.... Вставить ник Quote
nuclearcat Posted April 4, 2008 Posted April 4, 2008 Можно еще наваять немного правил с recent + hashlimit, и банить юзера отсылающего слишком много мыла (по -p tcp --syn --dport 25 + hashlimit скажем на 40 коннектов burst, 1 сообщение в секунду). Т.е. превысил цифру - IP заблочили. Частично теряет смысл если юзеры раздаются по "динамике". Вставить ник Quote
marikoda Posted April 20, 2008 Posted April 20, 2008 (edited) закройте 25 порт, поднимите свой почтовик, и пусть через него почту шлют(авторизация по ip) кто спам шлёт, тот в логах нарисуется.... есть обкатанное решение на основе nginx, заворачиваем трафик на него, потом парсим логи. по логам находим источник спама и даём ему по башке (конкретно у нас asterisk звонит на контактный телефон и рассказывает, что рассылать спам - незаконно) Edited April 20, 2008 by marikoda Вставить ник Quote
Taras Posted April 24, 2008 Posted April 24, 2008 (edited) закройте 25 порт, поднимите свой почтовик, и пусть через него почту шлют(авторизация по ip) кто спам шлёт, тот в логах нарисуется.... менее радикально: iptables -A FORWARD -p tcp ! -d ip-адрес_вашего_почтовика --dport smtp -m connlimit --connlimit-above 1 -j DROP урежет smtp до 1 сессии на сервера кроме вашего почтовика. Т.е. "здоровые" компьютеры или пользователи вашим почтовиком не заметят ограничений, а "больные" в одну сессию спама много не нашлют, а появившиеся у них проблемы с легальной почтой будут поводом выличить комп от вирусов. Edited April 24, 2008 by Taras Вставить ник Quote
ram_scan Posted April 24, 2008 Posted April 24, 2008 Для линукса и iptables я месяца два тому как публиковал здесь на форуме готовое решение из двух правил которое режет количество устанавливаемых (подчеркиваю, именно устанавливаемых, а не вообще) сессий в единицу времени. То есть можно иметь хоть тыщу сессий на 25 порт, но инициировать их можно не более определенного кол-ва за определенный промежуток. Публиковал специально для тех кому лень читать документацию на iptables. Работает фишка на том факте, что спамеру надо пропихнуть максимально возможное кол-во мыла за максимально короткий промежуток времени, и спамбот долбится постоянно, и самым постоянно продлевает себе бан. Успевает уйти максимум 5 писем. Честный человек ограничения не замечает (редко кто напишет более 5 писем с 5 рязных ящиков и попытается одновременно их оправить). Как правило лимита в 5 syn пакетов на 25 порт от пациента в минуту достаточно для того чтобы эффективно отшибать спамботов, и чтобы не мешать правильным пользователям. Вставить ник Quote
kostich Posted April 30, 2008 Posted April 30, 2008 закройте 25 порт, поднимите свой почтовик, и пусть через него почту шлют(авторизация по ip) кто спам шлёт, тот в логах нарисуется.... есть обкатанное решение на основе nginx, заворачиваем трафик на него, потом парсим логи. по логам находим источник спама и даём ему по башке (конкретно у нас asterisk звонит на контактный телефон и рассказывает, что рассылать спам - незаконно) сори за офф... а почем встанет установка такой звонилки/рассказывалки на фре? ps. так что бы только файлики войсовые писать и скриптом потом с указанием нужного номера дергать. Вставить ник Quote
hmd Posted May 6, 2008 Posted May 6, 2008 самый действенный способ закрыть всем 25 неружу )) и открывать только тем кто в этом нуждаются ,,,, по просьбе, как показывает практика их не так уж и много кому рельно нужен выход на 25)) в большинстве случаев узеры дажеи незнаю что спамят ))) Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.