sply: antispam blacklisting malicious machines

Sply Splyeff (

sply) wrote,
@ 2009-06-16 18:28:00

antispam blacklisting malicious machines
А не проверял ли кто, насколько может быть эффективным автоматом вносить в блэклист src IP для всяких сканнеров? Что-то типа спамхаусовского XBL, только более фашистский. Пришел пакет на несуществующий ip или закрытый порт, и его отправителя сразу за каждый пакет на сутки в локальный dnsbl. Интересно, насколько сильно они могут пересекатся с рассыльщиками.

(18 comments) - (Post a new comment)

dmih
2009-06-16 03:17 pm UTC (link)

Я на неделю насобирал 600 тыс. IP в dnsbl (без жалоб на хождение почты).
Вот теперь думаю, что еще полезного с ними сделать - запретить веб-доступ к сайтам? :)

Тут как бы одно соображение: люди не виноваты, т.е. это конечно альтруизм - заставить их всех вылечить свои компьютеры, но какая-то часть, 30%, живет с этим уже годы (как часть ботнета) и ей нормально, и всякие такие меры приведут к заметной раздраженности аудитории проекта.

(Reply to this) (Thread)

	b_a_t 2009-06-16 03:22 pm UTC (link)
	Не вот то, что не виноваты - это неправильная предпосылка. (Reply to this) (Parent)(Thread)

	dmih 2009-06-16 03:24 pm UTC (link)
	Есть же еще общие NAT-ы и проч., где виновных точно найти сложно, а страдать будут сразу разом. Хотя повторю, заставить их всех вылечить себя и всех вокруг - это задача небезинтересная, да. (Reply to this) (Parent)(Thread)

	sply 2009-06-16 03:27 pm UTC (link)
	У кого какие задачи. Меня бы вполне устроила защита от спама. Тем более для них вопрос времени, когда они попадут в популярные dnsbl (Reply to this) (Parent)(Thread)

dmih
2009-06-16 03:35 pm UTC (link)

ну статистику см. ниже.

А как защита от спама - представляется, что таких IP с сетевой активностью очень мало, чтобы создать какой-то заметный барьер. Я вон 600 тыс. на гора выдал, и то всего 20% относительно других DNSBL (см. ниже).
А сколько вы таких найдете которые сеть сканируют, да крохи по сравнению с этим. Так кажется.

(Reply to this) (Parent)(Thread)

	sply 2009-06-16 03:40 pm UTC (link)
	Потому и спрашимаю, что не знаю. М.б. у ботоводов уже устоявшееся разделение труда, что одни рассылают, а другие сканируют. Тогда вообще бесполезно. (Reply to this) (Parent)

	dma 2009-06-16 03:28 pm UTC (link)
	коллективная ответственность, как показывает практика, штука хорошая :) (Reply to this) (Parent)

	sply 2009-06-16 03:26 pm UTC (link)
	а какая их часть потом тебе спам посылала? и какой процент по отношению к остальным блоклистам? (Reply to this) (Parent)(Thread)

dmih
2009-06-16 03:33 pm UTC (link)

Это очень сильно зависит от порядка их применения, поэтому так вот сказать сложно. И потом я ведь с момента занесения их в блэклист большей частью не принимаю у них содержательные сессии, поэтому хотели ли они слать спам непонятно: какая-то часть из них может и хотела, но никогда фактически не слала, т.к. например ошибалась в TO.

если от этой лирики отвлечься, то на выборке 250 из этих 650 тыс. адресов (остальные 350 пока маринуются в сером списке), то статистика такая примерно, в условных числах:

Spamlist '1gb-ru-internal-dnsb' - hits 30869 (29696)
Spamlist 'cbl.abuseat.org' - hits 78718 (75045)
Spamlist 'bl.spamcop.net' - hits 463 (417)
Spamlist 'sbl.spamhaus.org' - hits 30 (30)
Spamlist 'dnsbl.njabl.org' - hits 8 (6)

при этом порядок их применения такой:

Name: 1gb-ru-internal-dnsbl.net
Name: cbl.abuseat.org
Name: pbl.spamhaus.org
Name: sbl.spamhaus.org
Name: xbl.spamhaus.org
Name: dnsbl.njabl.org
Name: bl.spamcop.net

т.е. если так навскидку, то пока 20% от остальных DNSBL.
но до 40-50% скажем я уверен что я это доведу, просто нельзя же сразу навсегда, это надо на основе статистики какой-то.

(Reply to this) (Parent)(Thread)

	sply 2009-06-16 03:38 pm UTC (link)
	Ты собирал именно сканнеров или по еще каким-то другим критериям? Если сканнеров, то выглядить многообещающе (Reply to this) (Parent)(Thread)

	dmih 2009-06-16 03:39 pm UTC (link)
	Я собирал тех, кто подключался на 25-й порт и говорил мне HELO [явно не домен]. Если выглядело как домен хоть приблизительно, то я внимания не обращал. (Reply to this) (Parent)

dmih
2009-06-16 03:43 pm UTC (link)

Надо понимать, что от их порядка зависит очень много.
если было бы cbl.abuseat.org первым, то может было бы так:

cbl.abuseat.org 95%
мы 3%
и далее.

Кто чье подмножество - хрен знает. Это надо местами менять и смотреть.
В массе своей я думаю я следующие списки просто повторил у себя локально.
Т.е. в моём случае важно не то, что я их столько узнал, а то, что я забираю еще какой-то процент, который важен лично для меня (например, лупит меня особенно сильно, а в тех списках вооще не значится). Но это может оказаться мизер. Я точно не знаю.

Когда-то я напишу пост о том, как это всё на практике работает, когда это мне будет самому ясно.

(Reply to this) (Parent)

	knutov 2009-06-16 03:28 pm UTC (link)
	А есть ли необходимость? Т.е. если смотреть вот на наш хостинг то я такой необходимости не вижу. Но у нас могут быть не те масштабы чтобы выборка оказалась достаточно репрезентативной. (Reply to this) (Thread)

	sply 2009-06-16 03:41 pm UTC (link)
	Да, зависит от масштабов (Reply to this) (Parent)

	dmih 2009-06-16 03:44 pm UTC (link)
	.. и от старости обслуживаемых доменов и IP и всего такого. (Reply to this) (Parent)(Thread)

	knutov 2009-06-16 03:49 pm UTC (link)
	да, про это не подумал :) (Reply to this) (Parent)

anatolix
2009-06-17 12:48 am UTC (link)

Вроде как все кто нормально сканит порты подделывает src. Ну т.е. надо тебе машину просканить, ты посылаешь ей 10000 syn-ов, и только у одного из них правильный src. На 9999 syn-ов syn-ack ты не получишь, но зато среди них твой правильный src нельзя будет найти.

(Reply to this) (Thread)

	dmih 2009-06-24 10:17 pm UTC (link)
	У меня есть иллюзия, что пакеты с совсем уж неправильным src из типичного провайдера не выходят. По крайней мере мне так кажется. Сам я например через СТРИМ такой пакет никуда отправить не смог. (Reply to this) (Parent)

(18 comments) - (Post a new comment)

Username:		Create an Account Forgot your login or password? Login w/ OpenID
Password:
	Remember Me
	English • Español • Deutsch • Русский…

About

Help

Get Involved

Legal

Store

LJ Labs