[kapa]

Собственно способ, который был мною найден где-то на просторах инета

iptables -A FORWARD -p tcp --syn --dport 25 -m connlimit --connlimit-above 10 -j LOG --log-level info --log-prefix "spamer ?"
iptables -A FORWARD -p tcp --syn --dport 25 -m connlimit --connlimit-above 10 -j REJECT

Насколько я понимаю, это ограничение на 10 одновременных соединений.

Полезно для защиты SMTP-сервера, чтобы свободные сокеты не закончились.

Для шлюза не годится, т.к. спамер может устанавливать соединения по очереди.

Но spamblock его поймает.

Вы слишком умного спамера всё равно не поймаете :)

А остальные шлют чем быстрее - тем больше, а чем больше - тем лучше.

[Ilya Evseev]

Вы слишком умного спамера всё равно не поймаете :)

Вопрос не в том, чтобы поймать всех, а в том, чтобы поймать 99,9999...%

Такое ощущение, что многие провайдеры не занимаются этим вообще.

Поэтому спам-боты и устроены так примитивно.

 

Возвращаясь к spamblock: уменьшая пороги срабатывания в правилах

и добавляя бОльшие интервалы проверки (день, неделя и т.д.),

можно постепенно занести в белый список всех честных рассыльщиков (сайты, юрлица и т.д.)

и сделать долю спама примерно равной доле хороших писем.

Меньше - только с контент-фильтром.

[6PATyCb]

Ну многих не многих, а до этой штуки у меня частенько бывали проблемы что наши ip были пробанены из-за спама. Теперь уже полтора года как ни одной просьбы на разбан. Только время от времени приходится давать пользователям по шапке, которые в список спамеров попадают.

[grfmaniak]

А кто-нибудь пробовал бороться со спамерами средствами cisco? inspect smtp и т.д.?

[Ilya Evseev]

А кто-нибудь пробовал бороться со спамерами средствами cisco? inspect smtp и т.д.?

Судя по http://www.cisco.com/en/US/products/sw/sec...08064730a.shtml

это простая проверка SMTP-заголовков на корректность.

Отчасти заменяет smtp-gated, совсем не заменяет spamblock.

[R00T_ADMIN]

Реально ли переделать spamblock под CentOS с iptables?

[Ilya Evseev]

Реально ли переделать spamblock под CentOS с iptables?

Примерный набросок:

http://sources.homelink.ru/spamblock/spamblock-iptables.txt

Не проверялся!

Отличия от исходного варианта:

http://sources.homelink.ru/spamblock/spamblock-iptables.diff

 

В правилах файрволла должна быть цепочка для спамеров:

iptables -N spammers

iptables -I FORWARD -p tcp --dport 25 -m state --state NEW -j spammers

 

Вариант с ipset был бы эффективнее, но ipset в стандартное ядро пока не входит.

[martin74]

Но он есть в CentAlt репозитарии... Ядро с ipset

[R00T_ADMIN]

Скрипт проверил. Работает отлично. Респект!

[Mafk]

Есть ли здесь люди, которые используют SNORT?

[Ilya Evseev]

Есть ли здесь люди, которые используют SNORT?

Во-первых, как Вы представляете себе его работу на потоках в сотни мегабит в секунду?

 

Во-вторых, Snort управляется правилами. Настройка правил - _трудоёмкая_ _квалифицированная_ задача.

С плохими правилами он либо ничего не заметит и тихо промолчит, либо устроит тысячи ложных срабатываний.

Причём это может выясниться не сразу, а либо после пропущенной атаки, либо после внезапного ахтунга на ровном месте.

 

В-третьих, Snort умеет суммировать и анализировать статистику по IP-адресам?

Насколько можно судить, правила расчитаны на анализ отдельных пакетов.

Спамера таким образом не заловишь.

 

Впрочем, если кто-то поделится успешным опытом эксплуатации Snort'a,

выложит рабочие настройки и т.д., буду щщастлив признать собственную неправоту =)

[Mafk]

 

 

Во-первых, как Вы представляете себе его работу на потоках в сотни мегабит в секунду?

Я не представляю. По-этому и спрашиваю.

 

Во-вторых, Snort управляется правилами. Настройка правил - _трудоёмкая_ _квалифицированная_ задача.

С плохими правилами он либо ничего не заметит и тихо промолчит, либо устроит тысячи ложных срабатываний.

Причём это может выясниться не сразу, а либо после пропущенной атаки, либо после внезапного ахтунга на ровном месте.

Данные риски есть у всего. И неверно написанный скрипт может так же устроить "ахтунг".

И как же уже готовая база правил? Опыт никто не отменял.

 

В-третьих, Snort умеет суммировать и анализировать статистику по IP-адресам?

Насколько можно судить, правила расчитаны на анализ отдельных пакетов.

Спамера таким образом не заловишь.

Насколько могу судить - это ваше большое ИМХО. Сами не пробовали?

[BETEPAH]

пару раз пытался заюзать снорт, очень сложно правила настроить, а выгребать тысячи ложных срабатываний задолбало, короче плюнул я на это гиблое дело...

[R00T_ADMIN]

Ilya Evseev

Возникла еще пара вопросов:

1. Поддерживает ли whitelist маски?

2. Как избавиться от добавления дублирующихся записей в iptables?

[kapa]

пару раз пытался заюзать снорт, очень сложно правила настроить, а выгребать тысячи ложных срабатываний задолбало, короче плюнул я на это гиблое дело...

по-моему вполне полезная штука, если не пытаться ловить всё подряд.

правильно отзеркалированный трафик на несколько сетевух, свой снорт для каждой сетевой, плюс минимум нужных правил вполне позволит быстро локализовать проблему при вирусных эпидемиях.

[Ilya Evseev]

Ilya Evseev

Возникла еще пара вопросов:

1. Поддерживает ли whitelist маски?

2. Как избавиться от добавления дублирующихся записей в iptables?

1. Whitelist-маски (пока) не поддерживаются.

Если надо исключить всю сеть, то добавьте её вручную в команду вызова tcpdump: "... and not net 1.2.3.0/24",

чтобы spamblock игнорировал её полностью.

 

2. Выложенная сегодня версия должна не создавать дублей.

Работает на выбор с pf, ipfw, iptables и iptables+ipset.

Подробности на домашней странице - http://sources.homelink.ru/spamblock/

Тестировалась по минимуму!

[_INF_]

Илья Вы не допиливали скрипт на предмет мониторинга нескольких портов ?

 

Например добавить возможность мониторить соедиения к портам 22, 23, 25, 3128.

 

И каким образом Вы разблокируете клиентов ? Обзвон, проверка а затем ручная чистка правила на клиента ? Или же по крону сброс правил ?

 

 

 

 

[Ilya Evseev]

Илья Вы не допиливали скрипт на предмет мониторинга нескольких портов ?

Например добавить возможность мониторить соедиения к портам 22, 23, 25, 3128.

Нет пока.

Были планы, но планами и остались, т.к. по шапке верхние провы нас бьют только за 25.

 

И каким образом Вы разблокируете клиентов ? Обзвон, проверка а затем ручная чистка правила на клиента ? Или же по крону сброс правил ?

Вручную после звонка клиенту, если SpamBlock перестал ругаться.

Автоматически - бессмысленно.

[s.lobanov]

т.к. по шапке верхние провы нас бьют только за 25.

А им-то какая разница - рассылаете вы спам или нет? Или у вас нет собственной AS?

Изменено 8 сентября, 2010 пользователем s.lobanov

[MESB]

Ilya Evseev

Подскажите плз, если скрипт использовать не на гейтвее как задумано, а просто на сервере почтовом который обслуживает юзеров иногда как релей и тоже иногда подвергается атакам как из локалки так и с инета, в нём ничего коректировать ненадо кроме правил айпитейблс?

 

Ато какраз пользователей переводят на dhcp и подобный скрипт с уведомлениями и прочим был бы интересен.

[Ilya Evseev]

Ilya Evseev

Подскажите плз, если скрипт использовать не на гейтвее как задумано, а просто на сервере почтовом который обслуживает юзеров иногда как релей и тоже иногда подвергается атакам как из локалки так и с инета, в нём ничего коректировать ненадо кроме правил айпитейблс?

Ему без разницы. Если вирусы будут бомбить эту машину запросами - он будет их засекать.

[s.lobanov]

Ilya Evseev

А можно ответ на мой вопрос получить? (об отсуствии или наличии собственной AS). Просто плохо верится в то, что до ваших аплинков(при наличии своей AS) доходят какие-то жалобы на спам с ваших IP. Насколько мне известно, скрипты(и хелперы), которые шлют абузы, смотрят whois на IP адрес(иногда ещё и на объекты, которые относятся к описанию сети), на SOA-запись для реверсной зоны, ещё иногда берут домен 2го уровня из реверсной зоны и добавляют префик posmaster@, до контактов аплинков они не добираются

[random7]

Просто плохо верится в то, что до ваших аплинков(при наличии своей AS) доходят какие-то жалобы на спам с ваших IP. Насколько мне известно, скрипты(и хелперы), которые шлют абузы, смотрят whois на IP адрес(иногда ещё и на объекты, которые относятся к описанию сети), на SOA-запись для реверсной зоны, ещё иногда берут домен 2го уровня из реверсной зоны и добавляют префик posmaster@, до контактов аплинков они не добираются

Доходят-доходят. Spamcop так делает.

 

[st_re]

Мне казалось, что спамкоп шлет только на контакты из WHOIS RIPE (ну или чьи там адреса используются у рассылающего).

 

Да и вообще, рассылка могла быть через одного аплинка, а спамкоп видит Вас через другого. Вот второй получит кляузу на клиента, проверит по своим логам, а там ни единого раз... эээ . соединения на 25 порт. Нехорошо'с будет'с.. Незнаю, что будет в случае злостного флуда спамом. Может и начнут эскалацией проблемы заниматься, так не надо доводить. Абузы читать надо.

[s.lobanov]

Просто плохо верится в то, что до ваших аплинков(при наличии своей AS) доходят какие-то жалобы на спам с ваших IP. Насколько мне известно, скрипты(и хелперы), которые шлют абузы, смотрят whois на IP адрес(иногда ещё и на объекты, которые относятся к описанию сети), на SOA-запись для реверсной зоны, ещё иногда берут домен 2го уровня из реверсной зоны и добавляют префик posmaster@, до контактов аплинков они не добираются

Доходят-доходят. Spamcop так делает.

Т.е. спамкомп bgp смотрит или как он аплинков-то находит?