delikatni problem - pop3/imap/smtp attack

Martin Kraus lists_mk na wujiman.net
Úterý Duben 21 16:09:54 CEST 2009


On Tue, Apr 21, 2009 at 02:48:53PM +0200, tapik na buchtovi.cz wrote:
> > myslim ze problem je ze se vubec nekdo pripojuje... takovy mensi dos. i kdyz se
> 
> Pokud se jedna o tisice IP denne, tak bych o mensim DOSu nemluvil - spis o vetsim ;-)
> 
> > omezi nastaveni mta na zname ucty(coz asi je nastaveno), tak se tim mta musi
> > stejne zabyvat az do chvile nez to odmitne, a to je prave ten problem. mda to
> > same.
> > 
> > reseni proti tomuhle je asi predradit stroj ktery bude tezce blokovat ip adresy
> > do
> > doby, nez to prestane. rekl bych ze je to nejaky botnet, takze do doby, nez si
> > microsoft opravi windows a lidi je preinstaluji.
> 
> Coz ale muze trvat i mesice, takze na toto reseni bych nesazel. Obzvalste pokud na tomtez stroji hostuji MTA pro vice domen s dostatecne ruznymi GeoIP.
> 
> Protoze dokud se nerozparsuje hlavicka a nevi se, pro koho to je, neda se s tim nic delat. Dle IP lze odrezavat POP a IMAP vcelku dobre, u SMTP to nejde. Co kdyby si dotycny odstrihl treba gmail?

ja netvrdil ze je to idealni reseni, ja pouze psal ze je to tak jedine reseni
ktere muze mit uspech. pomoci ipt_recent(pokud to zvladne, ja to nepouzivam v
tak velkem meritku) by slo kratkodobe blokovat, napriklad na 30minut a tim
ulehcit serveru, coz byl pozadavek. nebo tam proste nacpat vykonny hardware a
je to. zaroven ip adresy gmailu apod se daji dat do whitelistu, stejne jako
jine overene ip adresy.

mk



Další informace o konferenci Linux