Перейти к содержимому
Калькуляторы

Проблема со СПАМом в сети!

У меня стот проблема отлавливать спамеров в нашей сети иначе приходит предепреждение о том что IP могут забанить.

Я пользую для этих целей утилиту tcpdump (сниффер) с таким синтаксисом tcpdump -n tcp[13]==2 and port 25 - тобиш 25 порт смотрю,

потом смотрю какому клиенту принадлежит этот IP и блокирую эму 25-й порт на Микротике.

 

Вот есть информация по tcpdump и еще некоторым подобным утилитам http://house.hcn-strela.ru/BSDCert/BSDA-co...#3.6.11-tcpdump.

 

Вопрос: существуют ли другие утилиты, возможно с граф интерфейсом для решения данной задачи?

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в комплексе winbox для управления микротиком для такого анализа есть очень удобная графическая утилита Torch - которая показывает кто, куда, и зачем коннектится + сколько полосы в этот момент пожирает.

Изменено пользователем MaksMMS

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Многоуважаемый максммс а подсоветуйте такую же утилиту под линукс, давным давно использовал, а теперь вот опять админить надо линух и забыл. Чем посмотреть реальную полосу загрузки по айпи по порту. Айпитраф делает но там только маки видно - очень не удобно при большом количестве оных.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

закройте 25 порт, поднимите свой почтовик, и пусть через него почту шлют(авторизация по ip) кто спам шлёт, тот в логах нарисуется....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

trafshow -n port 25 :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можно еще наваять немного правил с recent + hashlimit, и банить юзера отсылающего слишком много мыла (по -p tcp --syn --dport 25 + hashlimit скажем на 40 коннектов burst, 1 сообщение в секунду). Т.е. превысил цифру - IP заблочили. Частично теряет смысл если юзеры раздаются по "динамике".

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

закройте 25 порт, поднимите свой почтовик, и пусть через него почту шлют(авторизация по ip) кто спам шлёт, тот в логах нарисуется....

есть обкатанное решение на основе nginx, заворачиваем трафик на него, потом парсим логи.

по логам находим источник спама и даём ему по башке (конкретно у нас asterisk звонит на контактный телефон и рассказывает, что рассылать спам - незаконно)

Изменено пользователем marikoda

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

закройте 25 порт, поднимите свой почтовик, и пусть через него почту шлют(авторизация по ip) кто спам шлёт, тот в логах нарисуется....

менее радикально:

 

iptables -A FORWARD -p tcp ! -d ip-адрес_вашего_почтовика --dport smtp -m connlimit --connlimit-above 1 -j DROP

 

урежет smtp до 1 сессии на сервера кроме вашего почтовика.

 

Т.е. "здоровые" компьютеры или пользователи вашим почтовиком не заметят ограничений, а "больные" в одну сессию спама много не нашлют, а появившиеся у них проблемы с легальной почтой будут поводом выличить комп от вирусов.

Изменено пользователем Taras

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для линукса и iptables я месяца два тому как публиковал здесь на форуме готовое решение из двух правил которое режет количество устанавливаемых (подчеркиваю, именно устанавливаемых, а не вообще) сессий в единицу времени. То есть можно иметь хоть тыщу сессий на 25 порт, но инициировать их можно не более определенного кол-ва за определенный промежуток. Публиковал специально для тех кому лень читать документацию на iptables.

 

Работает фишка на том факте, что спамеру надо пропихнуть максимально возможное кол-во мыла за максимально короткий промежуток времени, и спамбот долбится постоянно, и самым постоянно продлевает себе бан. Успевает уйти максимум 5 писем. Честный человек ограничения не замечает (редко кто напишет более 5 писем с 5 рязных ящиков и попытается одновременно их оправить). Как правило лимита в 5 syn пакетов на 25 порт от пациента в минуту достаточно для того чтобы эффективно отшибать спамботов, и чтобы не мешать правильным пользователям.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

закройте 25 порт, поднимите свой почтовик, и пусть через него почту шлют(авторизация по ip) кто спам шлёт, тот в логах нарисуется....

есть обкатанное решение на основе nginx, заворачиваем трафик на него, потом парсим логи.

по логам находим источник спама и даём ему по башке (конкретно у нас asterisk звонит на контактный телефон и рассказывает, что рассылать спам - незаконно)

сори за офф... а почем встанет установка такой звонилки/рассказывалки на фре?

 

ps. так что бы только файлики войсовые писать и скриптом потом с указанием нужного номера дергать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

самый действенный способ закрыть всем 25 неружу )) и открывать только тем кто в этом нуждаются ,,,, по просьбе, как показывает практика их не так уж и много кому рельно нужен выход на 25))

в большинстве случаев узеры дажеи незнаю что спамят )))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.