Komentář ze dne: 19.10.2006 23:29:23
Autor: ludvik (@)
Titulek: Re: Re: Re: Re: Re: Re: Re: elita
Kolikpak těch wrapů máš? Já stahuju informace momentálně z 88 kousků. Trvá to dohromady cca 20 - 25 minut. V noci daleko víc, to stahuju i konfigurace atp. Moc často se nestává, že se na něj nedostanu ...
Můžu si tam třeba zaznamenávat SYN pakety na nějaké porty - jenže co s tou informací? Musíš je porovnávat na nějaký "normál" a určit hranici, kdy je už síť napadena - nemožné něco takového udělat, v našich podmínkách určitě.
Pokud všichni půjdou přes můj SMTP, budu muset mít extra mašinu, to je bez debat. Nezapomeň, že je nás 800, to je meilů hafo ... Pokud se rozšíří virus, tak je mu fuk, že je tam třeba ověřování jméno+heslo, prostě to zkusí. A buď si jistý, že to spojení po sobě neuzavře ... DoS jak vyšitej. Něco jako tvůj jabber server :-) Pokud omezím počty spojení, silně omezím i ty, co jsou čistí a chtějí jenom napsat babičce (a mají tu smůlu, že nějaký kokot spamuje/viruje). Něco v tomto smyslu jsem měl na jabberu (a to poměrně volně) a furt jsem se divil, že občas nějaká zpráva nedojde (ze scriptu).
Geniální by bylo omezovat počty konexí (za čas) z jednotlivých IP, jenže to taky při našich počtech stojí dost výkonu. Nehledě na to, že standardní kernel to neumí a napatchovat to funkčně se mi ještě nepovedlo ...
Pak máš ještě problém s příchozíma meilama z netu - spousta lidí má u nás otevřenou IP z venku, viry (červi) nezajímá, že tam žádný meilserver není (i když by se člověk někdy divil) ... prostě to budou zkoušet. A hltit a hltit ...
Tj. nejlépe z toho vychází systém detekce (a predikce), byť opožděné, na bráně a následná reakce firewallem.
Pravidlo je poměrně jednoduché - IP pošle několik meilů za např. 15 min. Pokud je to na více cílových IP, je to jasné (předpoklad 1: málokdo používá více SMTP serverů a ještě k tomu najednou). Přidat se může kontrola, zda ta cílová je obsažena v DNS jako MX záznam (předpoklad 2: červi posílají s určitým prvkem náhody, neznají všechny smtp servery a z časových důvodů to ověřovat nebudou). V tuto chvíli si pošlu zprávu jabberem a meilem i uživateli, zdrojovou IP bloknu na forwardu i inputu. Problém v podstatě vyřešen ...
V podstatě ... protože bych blokoval i relativně slušné servery (seznam např), jelikož z nich toho může chodil hodně legálně. Ale to je detail ...
|