Re: TPSA nullroutuje nie swoje IP - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Grupy › pl.internet.polip › TPSA nullroutuje nie swoje IP › Re: TPSA nullroutuje nie swoje IP

Path: news-archive.icm.edu.pl!news.rmf.pl!agh.edu.pl!news.agh.edu.pl!news.onet.pl!new
s.nask.pl!news.nask.org.pl!news.internetia.pl!news.intelink.pl!newsfeed.neostra
da.pl!atlantis.news.neostrada.pl!news.neostrada.pl!not-for-mail
From: "xarafaxz@[tnij_ta]gmail.com" <xarafaxz@_tnij_ta_gmail.com>
Newsgroups: pl.internet.polip
Subject: Re: TPSA nullroutuje nie swoje IP
Date: Mon, 03 Nov 2008 01:30:13 +0100
Organization: TP - http://www.tp.pl/
Lines: 47
Message-ID: <gelh5s$jd4$1@nemesis.news.neostrada.pl>
References: <gdo6t8$u15$1@news.onet.pl> <gdobt4$pve$1@opal.futuro.pl>
<gdph18$acd$1@news.onet.pl> <gdpjqq$3jj$1@atlantis.news.neostrada.pl>
<s...@...jabbed.org>
<geksh7$k7f$2@nemesis.news.neostrada.pl>
<s...@...jabbed.org>
NNTP-Posting-Host: 195.117.179.37
Mime-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 8Bit
X-Trace: nemesis.news.neostrada.pl 1225672700 19876 195.117.179.37 (3 Nov 2008
00:38:20 GMT)
X-Complaints-To: u...@n...neostrada.pl
NNTP-Posting-Date: Mon, 3 Nov 2008 00:38:20 +0000 (UTC)
User-Agent: KNode/0.10.9
Xref: news-archive.icm.edu.pl pl.internet.polip:87485
[ ukryj nagłówki ]
Marcin Kulas wrote:

> Jest to jakiś argument, ale wtedy Ty masz więcej roboty, jak ktoś
> z Twojej sieci narozrabia (a w dużych sieciach dzieje się to co chwilę)
> i to do Ciebie należy potem szukanie kto danego dnia o danej godzinie
> miał podany IP, by urwać łeb abuserowi i nasikać do szyi, a potem jeszcze
> dyskutować z poszkodowanymi.
> Jeśli tego nie będziesz robił, to trachną Ci całą pulę i wtedy możesz
> mieć problem z utrzymaniem klientów, którym poczta/cokolwiek przestanie
> do świata docierać.
> W przypadku stałego IP dajesz strzelbę w ręce poszkodowanego. Jeśli chce,
> może wyciąć w pień jeden IP i obie strony mają mniej roboty.
>

Dzierżawę tj, dokładny czas, adres ip, mac CPE oraz modemu kablowego ładnie
zrzucam sobie do Postgres-a. I od tego momentu identyfikacja szkodnika to
mniej niż minuta. Przed spoofingiem zabezpieczają jeszcze inne techniki.
Jak ktoś korzysta z radius-a i pppoe to są nawet dostępne gotowe
rozwiązania. Jeżeli chodzi o strzelbę to ma ona niestety duży rozrzut:
ostatnio mam problemy z firmą trend micro, która umieściła mi 1 adres na
rbl (jeszcze w 2006, bo był tam nat dla userów, teraz jest firmowa poczta,
od lat adres jest czysty) a niektóre osoby muszą wysyłać maile do
instytucji, które z oprogramowania tej, niepoważnej, firmy korzystają.

> Gdybm chciał zgłaszać każdy spam do abuse/CERT-u, musiałbym to robić
> automatycznie. Najprawdopodobniej po kilku dniach zostałbym sam wycięty
> za spamowanie ich skrzynek. Dużo prościej i szybciej jest wycinać
> od ręki u siebie. Abuse/CERT bym zostawił na grubsze incydenty.
>
> Kiedyś z automatu karmiłem SpamCopa. Sprawność takiego mechanizmu
> była średnia w porównaniu z tym czego używam teraz.
> Bardziej mi się opłaca utrzymywać własnego RBL-a, którego karmię
> tym czym chcę, a potem zasilam nim wszystkie swoje maszyny. Mniej
> roboty i false positives, a więcej pożytku dla klientów.
>

Co do zgłoszeń CERT to narazie można powiedzieć że się bardzo nudzę.
Ostatnie miałem podczas akcji "Simone". Pewnie to zasługa tego że ze
spambotami w swojej sieci walcze sam. Oczywiście za pomocą automatów jak
najbardziej. Różnica jest taka że ja zawsze wiem kogo zbanuje, a dla ciebie
to będzie tylko adres IP za którym po 2h, albo nawet w tej chwili jeżeli to
NAT, może się kryć niewinna osoba. W ipv6 będzie to można pewnie o 180
stopni odwrócić, ale do tego długa droga.

Myślę że powinno powstać ujednolicone prawo i procedury postępowania ze
zgłoszeniami.