Re: Dziwne działania Pro-Futuro - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Grupy › pl.internet.polip › Dziwne działania Pro-Futuro › Re: Dziwne działania Pro-Futuro

Path: news-archive.icm.edu.pl!news.gazeta.pl!newsfeed.pionier.net.pl!news.nask.pl!new
s.nask.org.pl!newsfeed.atman.pl!not-for-mail
From: Paweł Małachowski <p...@t...niewazne>
Newsgroups: pl.internet.polip
Subject: Re: Dziwne działania Pro-Futuro
Date: Fri, 25 Aug 2006 17:42:06 +0200
Organization: ATMAN
Lines: 46
Message-ID: <ecn6al$47u$1@node5.news.atman.pl>
References: <ecmdo8$6sq$1@opal.futuro.pl> <ecml7g$6li$1@inews.gazeta.pl>
<ecmr14$nrm$1@opal.futuro.pl>
NNTP-Posting-Host: chello062179077037.chello.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-2; format=flowed
Content-Transfer-Encoding: 8bit
X-Trace: node5.news.atman.pl 1156521109 4350 62.179.77.37 (25 Aug 2006 15:51:49 GMT)
X-Complaints-To: a...@a...pl
NNTP-Posting-Date: Fri, 25 Aug 2006 15:51:49 +0000 (UTC)
User-Agent: Mozilla Thunderbird 1.0.7-1.1.fc4 (X11/20050929)
X-Accept-Language: en-us, en
In-Reply-To: <ecmr14$nrm$1@opal.futuro.pl>
Xref: news-archive.icm.edu.pl pl.internet.polip:78163
[ ukryj nagłówki ]
Marcin Kwiatkowski wrote:

> kiedy dostaję informację z arbuza futuro "przesyłam informację na temat
> spamu. proszę zaprzestać jego wysyłania" i poniżej link do np (głównie)
> spamcopa, gdzie wszystkie informacje, które pozwoliły by mi namierzyć
> zadymiacza poza timestampem zostały usunięte (co też rozumiem), to niby
> jak mam ustalić źródło pochodzenia takiego robala? Wiem tylko, że o
> godz. tej a tej, coś wyszło przez łącza PF, a przedstawiło się HELO
> jednym z naszych DSL'i (które służą do proxy) - bo robale sprawdzają
> przez WWW swój IP. Logi proxy z jednego dnia to ok. 10mln. linii. Logi
> flag SYN z jednej doby zajmują 60mln. linii. Więc żeby wychwytywać
> takich ludków musiał bym nic innego nie robić tylko czytać logi, żeby
> _może_ po tygodniu namierzyć jednego dymiącego. Inaczej gdyby wszyscy
> mieli adresy publiczne. Wówczas, jak jakiś ptyś trafi na spamtrapa, to
> DOKŁADNIE wiem kto (i w ciągu 10 sekund znika mu usługa SMTP).
> Postawienie własnego proxy SMTP też nie jest najlepszym rozwiazaniem,
> ponieważ nie każdy serwer przyjmie połączenie z proxy (owszem, były
> takie próby, ale bardzo dużo klientów narzekało na niedziałającą
> pocztę).

Jakie 60mln linii? Co Ty p...sz?

Kto Ci każde dociekać na podstawie raportu SpamCopa konkretnego
użytkownika odpowiedzialnego za konkretnego spama?

Tu działa statystyka. Masz x misiów, którzy spamują. Tak, wiadomo,
że w dzisiejszych czasach w dużej sieci nie da się dojść do x=0.
Wystarczy, że zaczniesz podglądać ruch bieżący i wycinać ich
sam, bez czekania na raporty SpamCopa. Jest spora szansa, że
przy okazji załatwisz i tego, na którego przyszedł raport...

Popularne systemy operacyjne jak Linux czy *BSD umożliwiają Ci
limitowanie liczby połączeń na określony port. Nawet jak masz
rutery sprzętowe (jakoś wątpię), to możesz zrobić port monitoring
i sniffować ruch np. wyłapując rate'm na porcie 25 hosty wysyłające
za dużo pakietów SYN na minutę. Potem możesz tym nakarmić firewalla
i wygenerować misiowi przekierowanie WWW na stronę z monitem.

> się nie będę. Zapraszam do firmy i oferuję miesięczną pensję za
> rozwiązanie problemu. Bo kilka niezależnych osób po zapoznaniu się z

A może być student, zdalnie?

--
Paweł Małachowski