|
Название: разборки на тему спама и доса Отправлено: dimia от 14 Февраля 2010, 11:07:48 от вышестоящего провайдера поступила претензия по поводу рассылки спама кем-то из пользователей (25 порт открыт). юзеры сидят на серых адресах, в мир выходят через нат. версия 49.
вопрос - как вытащить из детализированной статистики трафик на определенный ип адрес, от кого и когда? поделитесь опытом подобных разборок. Название: Re: разборки на тему спама и доса Отправлено: elite от 14 Февраля 2010, 11:45:44 от вышестоящего провайдера поступила претензия по поводу рассылки спама кем-то из пользователей (25 порт открыт). юзеры сидят на серых адресах, в мир выходят через нат. версия 49. а толку? это же не специально народ сидит спам рассылает, это вирусы у клиентоввопрос - как вытащить из детализированной статистики трафик на определенный ип адрес, от кого и когда? поделитесь опытом подобных разборок. проще закрыть по умолчания 25 порт ) и открывать тока по заявкам как показывает практика, меньше 1% пользователей просят открыть 25 порт )))) Название: Re: разборки на тему спама и доса Отправлено: dimia от 14 Февраля 2010, 12:03:00 25 порт закрыть можно. а что делать с досом? все равно возникнут вопросы о детализированном трафике.
Название: Re: разборки на тему спама и доса Отправлено: Cell от 14 Февраля 2010, 12:39:06 25 порт закрыть можно. а что делать с досом? все равно возникнут вопросы о детализированном трафике. О чем это ты? если 25 порт будет закрыт, то на нет и суда нет, дропаться будет все и все дела.Элит правильно говорит, единицы просят открыть 25 порт, при подключении спрашиваешь - нужен 25 порт (smtp), если спрашивают "а что это такое?" - значит не нужен )) Название: Re: разборки на тему спама и доса Отправлено: dimia от 14 Февраля 2010, 12:49:11 25 порт закрыть можно. а что делать с досом? все равно возникнут вопросы о детализированном трафике. О чем это ты? если 25 порт будет закрыт, то на нет и суда нет, дропаться будет все и все дела.Элит правильно говорит, единицы просят открыть 25 порт, при подключении спрашиваешь - нужен 25 порт (smtp), если спрашивают "а что это такое?" - значит не нужен )) с 25 портом понятно - это касается только спама. остался вопрос с досом (DoS, DDoS атаки) со стороны пользователей в сторону инета. как найти ип пользователя, с которого такая атака производилась, допустим два дня назад с 3 до 4 ночи, если известен только адрес атакованного сервера в инете. у пользователей используются серые адреса. Название: Re: разборки на тему спама и доса Отправлено: Cell от 14 Февраля 2010, 12:59:39 Дос это серьезно ))
На самом деле дос подразумевает большой траффик. Вот и смотри, кто у тебя "раздавал" в указанное время. Все для этого есть. Можешь еще модуль контроля полосы заюзать и для каждого юзера персональный график рисовать. Название: Re: разборки на тему спама и доса Отправлено: dimia от 14 Февраля 2010, 13:15:06 Дос это серьезно )) На самом деле дос подразумевает большой траффик. Вот и смотри, кто у тебя "раздавал" в указанное время. Все для этого есть. Можешь еще модуль контроля полосы заюзать и для каждого юзера персональный график рисовать. у нас все юзеры на безлимите. поэтому 100% загрузка полосы у пользователя - это нормальное явление. нужен способ вытаскивания из детальной статистики трафика для определенного ип адреса в инете, от кого и когда это было. кто-нибудь такое уже делал? зы. модуль полосы стоит в плане на второй квартал :) Название: Re: разборки на тему спама и доса Отправлено: Cell от 14 Февраля 2010, 13:48:12 у нас все юзеры на безлимите. поэтому 100% загрузка полосы у пользователя - это нормальное явление. Да не нормальное это явление, я борюсь как могу, и на самом деле желание качать все подряд у 90% узеров пропадает на 2-3 месяц безлимита.Насчет вычисления, все для этого есть. выбираем статистика-справа внизу- число - далее время, получаем срез за это время и пользователи которые в это время качали, по процентам загрузки определяем кто был падлой (+- 5 человек) и смотрим у них детальную статистику - которая естественно не должна быть выключена при настройке тарифных планов. ВСЕ. Название: Re: разборки на тему спама и доса Отправлено: dimia от 14 Февраля 2010, 14:04:10 у нас все юзеры на безлимите. поэтому 100% загрузка полосы у пользователя - это нормальное явление. Да не нормальное это явление, я борюсь как могу, и на самом деле желание качать все подряд у 90% узеров пропадает на 2-3 месяц безлимита.Насчет вычисления, все для этого есть. выбираем статистика-справа внизу- число - далее время, получаем срез за это время и пользователи которые в это время качали, по процентам загрузки определяем кто был падлой (+- 5 человек) и смотрим у них детальную статистику - которая естественно не должна быть выключена при настройке тарифных планов. ВСЕ. новые фильмы выходят постоянно, поэтому всегда будет чего качать ;) правильно ли понимаю, что стандартной возможности поиска по ип адресу в детальной статистике нет? нужно что-то дописывать или это теоретически невозможно? Название: Re: разборки на тему спама и доса Отправлено: Cell от 14 Февраля 2010, 14:15:20 правильно ли понимаю, что стандартной возможности поиска по ип адресу в детальной статистике нет? нужно что-то дописывать или это теоретически невозможно? стандартной возможности нет ))) но за всю мою практику с 2003 года что-то не припомню чтобы мне это когда-то понадобилось в данном контексте - поэтому возможность какая-то призрачная. Если вам очень это нужно - могу для вас персонально написать нужный модуль )) не за бесплатно конечно.Название: Re: разборки на тему спама и доса Отправлено: goletsa от 14 Февраля 2010, 14:22:56 Никто не мешает поставить гденить на промежуточном узле netflow колектор и анализировать весь трафик в направлении тех подсетей.
Есть кстати хорошая утилка - ntop, которая умеет писать кто куда откуда и сколько в виде графиков. Если например отфильтровать там трафик по подсети откуда идут жалобы то можно найти виновных. Только ессно это до ната должно стоять. Кстати по поводу дос\ддос надо еще на фаерволах всех глушить netbios трафик чтобы вирусам создать препятсвие к распространению. Название: Re: разборки на тему спама и доса Отправлено: dimia от 14 Февраля 2010, 14:43:16 правильно ли понимаю, что стандартной возможности поиска по ип адресу в детальной статистике нет? нужно что-то дописывать или это теоретически невозможно? стандартной возможности нет ))) но за всю мою практику с 2003 года что-то не припомню чтобы мне это когда-то понадобилось в данном контексте - поэтому возможность какая-то призрачная. Если вам очень это нужно - могу для вас персонально написать нужный модуль )) не за бесплатно конечно.Спасибо, конечно. но я еще на модуль полосы не заработал :) Название: Re: разборки на тему спама и доса Отправлено: Cell от 14 Февраля 2010, 14:44:21 тагда кАнЕчнААА
Название: Re: разборки на тему спама и доса Отправлено: dimia от 15 Февраля 2010, 11:30:15 тагда кАнЕчнААА хотя несколько строк на sql'е могут и решить эту проблему безвозмездно. если, конечна, эти строки уже существуют. Название: Re: разборки на тему спама и доса Отправлено: versus от 15 Февраля 2010, 21:47:46 Либастрал надо допилить и уже через него гнать скл запросы...
Название: Re: разборки на тему спама и доса Отправлено: mefer от 16 Февраля 2010, 21:52:26 Для примера то что было несколько лет назад:
- Звонок от вышестоящего прова (тогда ни лицензий ни своих ипов небыло) - тут от управления к поступил запросик, мол мы к вам тогда то тогда то подъедем - надо на вопросы ответить - Приезжают с управления Ка . - Кто у вас тогда то тогда то на тот то тот то ИП заходил? - Мы тогда статистику в ТХТ файлы скидывали ибо небыло детальной статы в БД. Так вот через пару часов поиска мы выдали ответ. Этот чел детское порно на яндексе размещал. И с нас взятки гладки и гада накрыли и мы потом еще год без лицензий проработали и ни кто нас не прикрывал. Точнее не без лицензий а без зданого узла и сетки. Название: Re: разборки на тему спама и доса Отправлено: Maks от 16 Февраля 2010, 23:11:41 Для примера то что было несколько лет назад: - Звонок от вышестоящего прова (тогда ни лицензий ни своих ипов небыло) - тут от управления к поступил запросик, мол мы к вам тогда то тогда то подъедем - надо на вопросы ответить - Приезжают с управления Ка . - Кто у вас тогда то тогда то на тот то тот то ИП заходил? - Мы тогда статистику в ТХТ файлы скидывали ибо небыло детальной статы в БД. Так вот через пару часов поиска мы выдали ответ. Этот чел детское порно на яндексе размещал. И с нас взятки гладки и гада накрыли и мы потом еще год без лицензий проработали и ни кто нас не прикрывал. Точнее не без лицензий а без зданого узла и сетки. Пока прочёл, язык раза 3 сломал ... Название: Re: разборки на тему спама и доса Отправлено: Cell от 17 Февраля 2010, 11:00:45 Для примера то что было несколько лет назад: подобные задачи решаются штатными средствами nodeny за 5 минут - прогресс налицо )))Название: Re: разборки на тему спама и доса Отправлено: dark от 20 Февраля 2010, 02:13:22 был вирус по icmp перебирал ip, и с таких же ip обратно сыпалось куча icmp сообщений, вычислили быстро, в ipfw создаем правило логирования и список гадов в /var/log/security.
Название: Re: разборки на тему спама и доса Отправлено: nops от 20 Апреля 2010, 16:31:05 А вообще, пардон если вдруг я не прав или не в тему, но. DoS или DDoS атаки это огромное количество пакетов отправляемых на один конкретно взятый узел, он же IP-адрес. Эти атаки, чтобы ты знал, сыпятся не с одного IP, а с сотен IP-шников, эти апишники это зомбированные компы какими-то хакерами, которые по указке своего хозяина хакера долбят конкретный IP. Я не думаю что с одного ИПа будет сыпаться DoS/DDoS атаки в таком количестве, что sn их засечёшь.
К тому же в основном ддосят открытые порты типа 80-го и 25-го....... Поправьте меня если я не прав Название: Re: разборки на тему спама и доса Отправлено: versus от 22 Апреля 2010, 01:27:25 Спасибо кэп
|