kapa Опубликовано 12 марта, 2010 · Жалоба Собственно способ, который был мною найден где-то на просторах инета iptables -A FORWARD -p tcp --syn --dport 25 -m connlimit --connlimit-above 10 -j LOG --log-level info --log-prefix "spamer ?" iptables -A FORWARD -p tcp --syn --dport 25 -m connlimit --connlimit-above 10 -j REJECT Насколько я понимаю, это ограничение на 10 одновременных соединений.Полезно для защиты SMTP-сервера, чтобы свободные сокеты не закончились. Для шлюза не годится, т.к. спамер может устанавливать соединения по очереди. Но spamblock его поймает. Вы слишком умного спамера всё равно не поймаете :)А остальные шлют чем быстрее - тем больше, а чем больше - тем лучше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 12 марта, 2010 · Жалоба Вы слишком умного спамера всё равно не поймаете :)Вопрос не в том, чтобы поймать всех, а в том, чтобы поймать 99,9999...%Такое ощущение, что многие провайдеры не занимаются этим вообще. Поэтому спам-боты и устроены так примитивно. Возвращаясь к spamblock: уменьшая пороги срабатывания в правилах и добавляя бОльшие интервалы проверки (день, неделя и т.д.), можно постепенно занести в белый список всех честных рассыльщиков (сайты, юрлица и т.д.) и сделать долю спама примерно равной доле хороших писем. Меньше - только с контент-фильтром. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
6PATyCb Опубликовано 14 марта, 2010 · Жалоба Ну многих не многих, а до этой штуки у меня частенько бывали проблемы что наши ip были пробанены из-за спама. Теперь уже полтора года как ни одной просьбы на разбан. Только время от времени приходится давать пользователям по шапке, которые в список спамеров попадают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grfmaniak Опубликовано 18 марта, 2010 · Жалоба А кто-нибудь пробовал бороться со спамерами средствами cisco? inspect smtp и т.д.? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 18 марта, 2010 · Жалоба А кто-нибудь пробовал бороться со спамерами средствами cisco? inspect smtp и т.д.?Судя по http://www.cisco.com/en/US/products/sw/sec...08064730a.shtmlэто простая проверка SMTP-заголовков на корректность. Отчасти заменяет smtp-gated, совсем не заменяет spamblock. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
R00T_ADMIN Опубликовано 30 марта, 2010 · Жалоба Реально ли переделать spamblock под CentOS с iptables? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 30 марта, 2010 · Жалоба Реально ли переделать spamblock под CentOS с iptables?Примерный набросок:http://sources.homelink.ru/spamblock/spamblock-iptables.txt Не проверялся! Отличия от исходного варианта: http://sources.homelink.ru/spamblock/spamblock-iptables.diff В правилах файрволла должна быть цепочка для спамеров: iptables -N spammers iptables -I FORWARD -p tcp --dport 25 -m state --state NEW -j spammers Вариант с ipset был бы эффективнее, но ipset в стандартное ядро пока не входит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 30 марта, 2010 · Жалоба Но он есть в CentAlt репозитарии... Ядро с ipset Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
R00T_ADMIN Опубликовано 31 марта, 2010 · Жалоба Скрипт проверил. Работает отлично. Респект! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mafk Опубликовано 2 апреля, 2010 · Жалоба Есть ли здесь люди, которые используют SNORT? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 3 апреля, 2010 · Жалоба Есть ли здесь люди, которые используют SNORT?Во-первых, как Вы представляете себе его работу на потоках в сотни мегабит в секунду? Во-вторых, Snort управляется правилами. Настройка правил - _трудоёмкая_ _квалифицированная_ задача. С плохими правилами он либо ничего не заметит и тихо промолчит, либо устроит тысячи ложных срабатываний. Причём это может выясниться не сразу, а либо после пропущенной атаки, либо после внезапного ахтунга на ровном месте. В-третьих, Snort умеет суммировать и анализировать статистику по IP-адресам? Насколько можно судить, правила расчитаны на анализ отдельных пакетов. Спамера таким образом не заловишь. Впрочем, если кто-то поделится успешным опытом эксплуатации Snort'a, выложит рабочие настройки и т.д., буду щщастлив признать собственную неправоту =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mafk Опубликовано 5 апреля, 2010 · Жалоба Во-первых, как Вы представляете себе его работу на потоках в сотни мегабит в секунду? Я не представляю. По-этому и спрашиваю. Во-вторых, Snort управляется правилами. Настройка правил - _трудоёмкая_ _квалифицированная_ задача.С плохими правилами он либо ничего не заметит и тихо промолчит, либо устроит тысячи ложных срабатываний. Причём это может выясниться не сразу, а либо после пропущенной атаки, либо после внезапного ахтунга на ровном месте. Данные риски есть у всего. И неверно написанный скрипт может так же устроить "ахтунг". И как же уже готовая база правил? Опыт никто не отменял. В-третьих, Snort умеет суммировать и анализировать статистику по IP-адресам?Насколько можно судить, правила расчитаны на анализ отдельных пакетов. Спамера таким образом не заловишь. Насколько могу судить - это ваше большое ИМХО. Сами не пробовали? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BETEPAH Опубликовано 5 апреля, 2010 · Жалоба пару раз пытался заюзать снорт, очень сложно правила настроить, а выгребать тысячи ложных срабатываний задолбало, короче плюнул я на это гиблое дело... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
R00T_ADMIN Опубликовано 6 апреля, 2010 · Жалоба Ilya Evseev Возникла еще пара вопросов: 1. Поддерживает ли whitelist маски? 2. Как избавиться от добавления дублирующихся записей в iptables? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapa Опубликовано 6 апреля, 2010 · Жалоба пару раз пытался заюзать снорт, очень сложно правила настроить, а выгребать тысячи ложных срабатываний задолбало, короче плюнул я на это гиблое дело...по-моему вполне полезная штука, если не пытаться ловить всё подряд.правильно отзеркалированный трафик на несколько сетевух, свой снорт для каждой сетевой, плюс минимум нужных правил вполне позволит быстро локализовать проблему при вирусных эпидемиях. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 25 апреля, 2010 · Жалоба Ilya Evseev Возникла еще пара вопросов: 1. Поддерживает ли whitelist маски? 2. Как избавиться от добавления дублирующихся записей в iptables? 1. Whitelist-маски (пока) не поддерживаются.Если надо исключить всю сеть, то добавьте её вручную в команду вызова tcpdump: "... and not net 1.2.3.0/24", чтобы spamblock игнорировал её полностью. 2. Выложенная сегодня версия должна не создавать дублей. Работает на выбор с pf, ipfw, iptables и iptables+ipset. Подробности на домашней странице - http://sources.homelink.ru/spamblock/ Тестировалась по минимуму! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
_INF_ Опубликовано 7 сентября, 2010 · Жалоба Илья Вы не допиливали скрипт на предмет мониторинга нескольких портов ? Например добавить возможность мониторить соедиения к портам 22, 23, 25, 3128. И каким образом Вы разблокируете клиентов ? Обзвон, проверка а затем ручная чистка правила на клиента ? Или же по крону сброс правил ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 8 сентября, 2010 · Жалоба Илья Вы не допиливали скрипт на предмет мониторинга нескольких портов ? Например добавить возможность мониторить соедиения к портам 22, 23, 25, 3128. Нет пока.Были планы, но планами и остались, т.к. по шапке верхние провы нас бьют только за 25. И каким образом Вы разблокируете клиентов ? Обзвон, проверка а затем ручная чистка правила на клиента ? Или же по крону сброс правил ?Вручную после звонка клиенту, если SpamBlock перестал ругаться.Автоматически - бессмысленно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 8 сентября, 2010 (изменено) · Жалоба т.к. по шапке верхние провы нас бьют только за 25. А им-то какая разница - рассылаете вы спам или нет? Или у вас нет собственной AS? Изменено 8 сентября, 2010 пользователем s.lobanov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MESB Опубликовано 9 сентября, 2010 · Жалоба Ilya Evseev Подскажите плз, если скрипт использовать не на гейтвее как задумано, а просто на сервере почтовом который обслуживает юзеров иногда как релей и тоже иногда подвергается атакам как из локалки так и с инета, в нём ничего коректировать ненадо кроме правил айпитейблс? Ато какраз пользователей переводят на dhcp и подобный скрипт с уведомлениями и прочим был бы интересен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 9 сентября, 2010 · Жалоба Ilya Evseev Подскажите плз, если скрипт использовать не на гейтвее как задумано, а просто на сервере почтовом который обслуживает юзеров иногда как релей и тоже иногда подвергается атакам как из локалки так и с инета, в нём ничего коректировать ненадо кроме правил айпитейблс? Ему без разницы. Если вирусы будут бомбить эту машину запросами - он будет их засекать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 9 сентября, 2010 · Жалоба Ilya Evseev А можно ответ на мой вопрос получить? (об отсуствии или наличии собственной AS). Просто плохо верится в то, что до ваших аплинков(при наличии своей AS) доходят какие-то жалобы на спам с ваших IP. Насколько мне известно, скрипты(и хелперы), которые шлют абузы, смотрят whois на IP адрес(иногда ещё и на объекты, которые относятся к описанию сети), на SOA-запись для реверсной зоны, ещё иногда берут домен 2го уровня из реверсной зоны и добавляют префик posmaster@, до контактов аплинков они не добираются Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
random7 Опубликовано 10 сентября, 2010 · Жалоба Просто плохо верится в то, что до ваших аплинков(при наличии своей AS) доходят какие-то жалобы на спам с ваших IP. Насколько мне известно, скрипты(и хелперы), которые шлют абузы, смотрят whois на IP адрес(иногда ещё и на объекты, которые относятся к описанию сети), на SOA-запись для реверсной зоны, ещё иногда берут домен 2го уровня из реверсной зоны и добавляют префик posmaster@, до контактов аплинков они не добираются Доходят-доходят. Spamcop так делает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 10 сентября, 2010 · Жалоба Мне казалось, что спамкоп шлет только на контакты из WHOIS RIPE (ну или чьи там адреса используются у рассылающего). Да и вообще, рассылка могла быть через одного аплинка, а спамкоп видит Вас через другого. Вот второй получит кляузу на клиента, проверит по своим логам, а там ни единого раз... эээ . соединения на 25 порт. Нехорошо'с будет'с.. Незнаю, что будет в случае злостного флуда спамом. Может и начнут эскалацией проблемы заниматься, так не надо доводить. Абузы читать надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 10 сентября, 2010 · Жалоба Просто плохо верится в то, что до ваших аплинков(при наличии своей AS) доходят какие-то жалобы на спам с ваших IP. Насколько мне известно, скрипты(и хелперы), которые шлют абузы, смотрят whois на IP адрес(иногда ещё и на объекты, которые относятся к описанию сети), на SOA-запись для реверсной зоны, ещё иногда берут домен 2го уровня из реверсной зоны и добавляют префик posmaster@, до контактов аплинков они не добираются Доходят-доходят. Spamcop так делает. Т.е. спамкомп bgp смотрит или как он аплинков-то находит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...