On 07.01.2009, Krzysztof Halasa <k...@p...waw.pl> wroted:

>> Ja nie rozumiem. Dlaczego miałby nie zmienić, skoro te "jakieś serwery"
>> to te, do których idą połączenia kontrolne botnetów? Ktoś nie wyśle spamu,
>> ktoś nie podkradnie loginu mbanku, ktoś nie poszpieguje, ktoś nie zrobi
>> DDoSa itp.
>
> W poboznych zyczeniach, moze tak. Te wlasnie "jakies serwery" moga byc
> wykorzystywane, ale w zadnym przypadku nie sa niezbedne, ani nawet
> jakos bardzo potrzebne do tego calego procederu.

Wiesz, to mi przypomina takie bardzo autorytatywne i stuprocentowo logiczne
dowody na to, że greylisting SMTP nie ma prawa działać, bo co za problem
zaimplemenetować obsługę 450 w maszynkach do spamu. Trudno się nie zgodzić
z argumentami, że jest to karanie własnych userów, że nieskuteczne, że na
krótką metę itp. Przeciwnicy mają oczywiście rację, a ja mam rząd wielkości
mniej spamu w poczcie. Nie ma prawa działać, a jakoś działa od już chyba
dwóch lat. To co Rafał pisał o fast-fluksie i rzekomym wymarciu kontroli
botnetów przez IRC ładnie do tego pasuje.

>>> Natomiast tu mamy do czynienia z dzialaniem _z_zalozenia_
>>> a) nieskutecznym (na dluzsza mete), b) wycinajacym normalna
>>> komunikacje normalnego (niezarazonego) usera z normalnymi
>>> (niezarazonymi itp) serwerami.
>>
>> Z serwerami kontrolującymi botnety, jeśli pominąć zwykłe pomyłki.
>
> Co to znaczy "kontrolujacymi botnety"? Pozwalajacymi na polaczenie sie
> w charakterze uzytkownika IRC i pozwalajacymi na wymiane komunikatow
> z innymi uzytkownikami IRC?

Nie wiem, miałem wysłać do Karpia informację, że jestem zainteresowany
szczegółami o których pisał, ale jestem za głupi żeby znaleźć jego adres
email. O ile przeczytałem wszystko w wątku co jest istotne, scoring się
zaczyna nie wtedy, kiedy pozwalasz na te połączenia, ale kiedy łączą się
do Ciebie większe ilości zombies.

> Moze siec np. TPSA albo ich serwery DNS tez sa kontrolerami botnetow?
> A komunikatory i usenet? Skad wiemy czy boty nie wykorzystuja np. gg
> albo innego np. skype? Zreszta, pewnie jesli jeszcze nie wykorzystuja,
> to za chwile zaczna wykorzystywac - tyle, ze tego nie da sie tak latwo
> podsluchac i m.in., choc to slaby argument, dojsc po nitce do klebka,
> czyli do prawdziwego "kontrolera".

Jw. Nie wiemy na razie jak dokładnie działa algorytm, ale nie uważasz,
że - odkładając na moment na bok p2p itd. - pierwsze sito już daje
sygnał do sprawdzenia danego IP? Jeśli nagle tysiąc hostów z różnych
dynamicznych pul, o których wiadomo, że rozsyłają spam, zaczyna się
łączyć skypem do jednego adresu IP, to naprawdę pomyślałbyś, że ot,
grupka znajomych chce sobie pogadać?

>> Ale jaki jest zasadniczo argument za tą nieskutecznością? Nieskuteczne,
>> bo nie i koniec?
>
> Czyzbym pominal jakis szczegol?

Jak dla mnie, to pominąłeś ogół. Owszem, ja się zgadzam, że filtrowanie
portu 25 jest lepszym rozwiązaniem. Ale nie rozumiem dlaczego z tej okazji
ucinanie kontroli botnetów miałoby być nieskuteczne - zwłaszcza, że
ograniczenie się do portu 25 pomija wszystkie inne poza spamem nadużycia
jakie powodują zombies. Non sequitur, po prostu.

> Poza tym, zostal tu podany link do dowodu, nie jakiegos argumentu
> z ktorym mozna sie zgadzac lub nie.

Wątek ma prawie 300 listów, zlituj się i zacytuj.

GS
--
Grzegorz Staniak <gstaniak _at_ wp [dot] pl>
Nocturnal Infiltration and Accurate Killing