Spammer eindämmen...
Achim Dreyer
adreyer at math.uni-paderborn.de
Tue Jul 1 14:15:36 CEST 2003
On Tue, 1 Jul 2003, Markus Wigge wrote:
> Adresse: c9-rba-204.dial-up.net[196.33.246.204]
>
> Am 14.6. im Zeitraum von 14:56 bis 20:11 hatte mein Postfix 1783
> connects von dieser Adresse!
>
> Welche Möglichkeiten habe ich anhand dieser Daten gegen den Spammer
> vorzugehen?
Ist zwar der falsche Ansatz (falscher Netzwerl-Layer), aber bei den
iptables gibt es die Möglichkeit die maximale Anzahl Requests pro Zeitraum
zu begrenzen.
Da hier innerhalb von ~5 Stunden ~1700 connects durch gingen
=> 5.6 Connects/Minute von einer IP-Nummer
Wenn dies nicht gerade ein Mailserver mit hohem Mail-Durchsatz ist
könntest du ein Limit von 1 Connect/Minute auf den Port setzen und so
wenigstens das ganze herauszögern.. (dann hätte der Angreifer 28 Stunden
gebraucht..)
Du kannst natürlich auch aktive Gegenmaßnahmen einbauen. zB ein Skript
welches das Maillog überwacht und bei überschreiten eines Schwellwertes
einfach die IP-Nummer sperrt.. soweit ich weis gibt's da noch nix
fertiges.. ist aber nicht schwer sich selber zu stricken.
Regards,
Achim Dreyer
--
A. Dreyer, Senior SysAdmin (UNIX&Network) / Internet Security Consultant
More information about the Linux
mailing list