yujin777 Опубликовано 31 марта, 2008 · Жалоба У меня стот проблема отлавливать спамеров в нашей сети иначе приходит предепреждение о том что IP могут забанить. Я пользую для этих целей утилиту tcpdump (сниффер) с таким синтаксисом tcpdump -n tcp[13]==2 and port 25 - тобиш 25 порт смотрю, потом смотрю какому клиенту принадлежит этот IP и блокирую эму 25-й порт на Микротике. Вот есть информация по tcpdump и еще некоторым подобным утилитам http://house.hcn-strela.ru/BSDCert/BSDA-co...#3.6.11-tcpdump. Вопрос: существуют ли другие утилиты, возможно с граф интерфейсом для решения данной задачи? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MaksMMS Опубликовано 1 апреля, 2008 (изменено) · Жалоба в комплексе winbox для управления микротиком для такого анализа есть очень удобная графическая утилита Torch - которая показывает кто, куда, и зачем коннектится + сколько полосы в этот момент пожирает. Изменено 1 апреля, 2008 пользователем MaksMMS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mishasat Опубликовано 1 апреля, 2008 · Жалоба Многоуважаемый максммс а подсоветуйте такую же утилиту под линукс, давным давно использовал, а теперь вот опять админить надо линух и забыл. Чем посмотреть реальную полосу загрузки по айпи по порту. Айпитраф делает но там только маки видно - очень не удобно при большом количестве оных. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
witch Опубликовано 1 апреля, 2008 · Жалоба закройте 25 порт, поднимите свой почтовик, и пусть через него почту шлют(авторизация по ip) кто спам шлёт, тот в логах нарисуется.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
a0xff Опубликовано 1 апреля, 2008 · Жалоба trafshow -n port 25 :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 4 апреля, 2008 · Жалоба Можно еще наваять немного правил с recent + hashlimit, и банить юзера отсылающего слишком много мыла (по -p tcp --syn --dport 25 + hashlimit скажем на 40 коннектов burst, 1 сообщение в секунду). Т.е. превысил цифру - IP заблочили. Частично теряет смысл если юзеры раздаются по "динамике". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
marikoda Опубликовано 20 апреля, 2008 (изменено) · Жалоба закройте 25 порт, поднимите свой почтовик, и пусть через него почту шлют(авторизация по ip) кто спам шлёт, тот в логах нарисуется.... есть обкатанное решение на основе nginx, заворачиваем трафик на него, потом парсим логи. по логам находим источник спама и даём ему по башке (конкретно у нас asterisk звонит на контактный телефон и рассказывает, что рассылать спам - незаконно) Изменено 20 апреля, 2008 пользователем marikoda Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Taras Опубликовано 24 апреля, 2008 (изменено) · Жалоба закройте 25 порт, поднимите свой почтовик, и пусть через него почту шлют(авторизация по ip) кто спам шлёт, тот в логах нарисуется.... менее радикально: iptables -A FORWARD -p tcp ! -d ip-адрес_вашего_почтовика --dport smtp -m connlimit --connlimit-above 1 -j DROP урежет smtp до 1 сессии на сервера кроме вашего почтовика. Т.е. "здоровые" компьютеры или пользователи вашим почтовиком не заметят ограничений, а "больные" в одну сессию спама много не нашлют, а появившиеся у них проблемы с легальной почтой будут поводом выличить комп от вирусов. Изменено 24 апреля, 2008 пользователем Taras Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ram_scan Опубликовано 24 апреля, 2008 · Жалоба Для линукса и iptables я месяца два тому как публиковал здесь на форуме готовое решение из двух правил которое режет количество устанавливаемых (подчеркиваю, именно устанавливаемых, а не вообще) сессий в единицу времени. То есть можно иметь хоть тыщу сессий на 25 порт, но инициировать их можно не более определенного кол-ва за определенный промежуток. Публиковал специально для тех кому лень читать документацию на iptables. Работает фишка на том факте, что спамеру надо пропихнуть максимально возможное кол-во мыла за максимально короткий промежуток времени, и спамбот долбится постоянно, и самым постоянно продлевает себе бан. Успевает уйти максимум 5 писем. Честный человек ограничения не замечает (редко кто напишет более 5 писем с 5 рязных ящиков и попытается одновременно их оправить). Как правило лимита в 5 syn пакетов на 25 порт от пациента в минуту достаточно для того чтобы эффективно отшибать спамботов, и чтобы не мешать правильным пользователям. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 30 апреля, 2008 · Жалоба закройте 25 порт, поднимите свой почтовик, и пусть через него почту шлют(авторизация по ip) кто спам шлёт, тот в логах нарисуется.... есть обкатанное решение на основе nginx, заворачиваем трафик на него, потом парсим логи. по логам находим источник спама и даём ему по башке (конкретно у нас asterisk звонит на контактный телефон и рассказывает, что рассылать спам - незаконно) сори за офф... а почем встанет установка такой звонилки/рассказывалки на фре? ps. так что бы только файлики войсовые писать и скриптом потом с указанием нужного номера дергать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hmd Опубликовано 6 мая, 2008 · Жалоба самый действенный способ закрыть всем 25 неружу )) и открывать только тем кто в этом нуждаются ,,,, по просьбе, как показывает практика их не так уж и много кому рельно нужен выход на 25)) в большинстве случаев узеры дажеи незнаю что спамят ))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...