The OpenNET Project: Автоматизация борьбы со спамботами в своей сети

Администраторы больших сетей регулярно получают жалобы на исходящий из них спам. Получив жалобу, можно найти виновного и устранить проблему. Но нехорошо узнавать о таких делах только от чужих людей. Спамеров вполне можно вычислить самому, и принять меры раньше, чем кто-то пострадает. Чисто интуитивно достаточно запустить tcpdump на исходящем канале, и посмотреть, какие IP-адреса больше в сего посылают SYN-пакетов на 25 порт. tcpdump -ni bridge0 'tcp[tcpflags] & tcp-syn != 0 and dst port 25' В идеале это был бы ваш SMTP-сервер. В действительности вы увидите в основном IP-адреса простых пользователей, "одержимых бесами". Дело в том, что обычный спамбот создает SMTP-соединений во много раз больше вашего почтового сервера. Причем с разными IP-адресами. В наши дни все нормальные почтовые сервера имеют PTR-запись DNS. Простые клиенты, напротив, такой записи обычно не имеют. Если почтовый сервер может устанавливать SMTP-соединения со множеством IP-адресов, то для простого клиента эта величина обычно не более 1-2 (например, пользование удаленными SMTP-серверами с лаптопа). Исходя из этого, можно автоматически определять спамботов в нашей сети, и блокировать их (например, средствами IPFW). В качестве критерия оценки мы установили максимальное количество IP-адресов, с которыми каждый хост может общаться по SMTP в течение 5 минут. Для хостов с реверсной записью DNS это 200, для хостов без реверсной записи - 20. Если хост превышает этот лимит, он попадает в черный список на сутки. Нами написан Perl-скрипт, запускающий tcpdump на 5 минут, и анализирующий результаты. Хосты-нарушители заносятся в таблицу PostgreSQL для удобства персонала, и затем помещаются в таблицу IPFW. Правила файрвола блокируют все соединения на 25 порт с хостов, находящихся в данной таблице. Текст скрипта: #!/usr/local/bin/perl # dimss@stalin.lv 2009-08-20 my $colltime = 300; # How long to collect data my $rev_limit = 200; # Remote IP limit for hosts with PTR record my $norev_limit = 20; # Remote IP limit for hosts without PTR record my $table_no = 1; # Number of IPFW table use strict; use warnings; use POSIX ':signal_h'; use Socket; use DBI; # # Collect data # Run tcpdump for some time # my $conns = {}; my $mask = POSIX::SigSet->new( SIGALRM ); my $action = POSIX::SigAction->new( sub { system("killall tcpdump"); }, $mask ); my $oldaction = POSIX::SigAction->new(); sigaction(14, $action, $oldaction); alarm($colltime); # Run tcpdump for this amount of time open(T, "/usr/sbin/tcpdump -ni bridge0 'tcp[tcpflags] & tcp-syn != 0 " . "and dst port 25' " . "2>/dev/null |") or die; while(<T>){ /\ ((\d+\.){3}\d+).+?((\d+\.){3}\d+)/; my $locip = $1; my $remip = $3; #print "$locip $remip\n"; $conns->{$locip} ||= {}; $conns->{$locip}->{$remip} ||= 1; } alarm(0); sleep(1); # # Analyze connections # $mask = POSIX::SigSet->new( SIGALRM ); $action = POSIX::SigAction->new( sub { die("Reverse lookup took too long"); }, $mask ); $oldaction = POSIX::SigAction->new(); sigaction(14, $action, $oldaction); alarm(60); # Reverse DNS lookups must complete within this period my %concount; my %bots; for my $locip (keys(%$conns)){ #print("Loc IP: $locip\n"); my $cnt = 0; for my $remip (keys(%{$conns->{$locip}})){ #print(" Rem IP: $remip\n"); $cnt++; } $concount{$locip} = $cnt; } for my $locip (sort {$concount{$b} <=> $concount{$a}} keys(%concount)){ if($concount{$locip} > $norev_limit){ my $ip = inet_aton($locip); my $name = gethostbyaddr($ip, AF_INET); if($concount{$locip} > ($name ? $rev_limit : $norev_limit)){ #print("$locip: $concount{$locip} (" . ($name || '') . ")\n"); $bots{$locip} = $name; } } } alarm(0); # # Update database # $mask = POSIX::SigSet->new( SIGALRM ); $action = POSIX::SigAction->new( sub { die("Database timeout"); }, $mask ); $oldaction = POSIX::SigAction->new(); sigaction(14, $action, $oldaction); alarm(15); my $dbh = DBI->connect("dbi:Pg:host=db.host.tld;dbname=spambot", "spambot", "passwd"); if(!$dbh) { die("Cannot connect to DB"); } my $query; my $sth; my $rv; for my $botip (keys(%bots)){ #print "$botip\n"; my $qname = $dbh->quote($bots{$botip}); $query = " update spambot_hosts set active_till = now() + '1 days', hostname = $qname where ip = '$botip' "; $sth = $dbh->prepare($query); $rv = $sth->execute(); if($rv != 1){ $query = " insert into spambot_hosts (ip, hostname, active_till) values ('$botip', $qname, now() + '1 days') "; $sth = $dbh->prepare($query); $sth->execute(); } } $query = " delete from spambot_hosts where active_till < now() "; $sth = $dbh->prepare($query); $sth->execute(); # # Get full list of banned hosts from DB # $query = " select ip from spambot_hosts "; $sth = $dbh->prepare($query); $sth->execute(); my %dlist; while(my $row = $sth->fetchrow_hashref){ $dlist{$row->{ip}} = 1; } undef $dbh; alarm(0); # # Read list of banned hosts from kernel (ipfw) table # my %klist; if(open(KTABLE, "/sbin/ipfw table $table_no list|")){ while(<KTABLE>){ chomp(); s/\/32//; my ($prefix, $queue) = split(); $klist{$prefix} = 1; } close(KTABLE); } # # Update kernel table # for my $host (keys(%dlist)){ unless($klist{$host}){ #print "Add $host\n"; system("/sbin/ipfw table $table_no add $host"); } } for my $host (keys(%klist)){ unless($dlist{$host}){ #print "Remove $host\n"; system("/sbin/ipfw table $table_no delete $host"); } } exit; Из /etc/ipfw.rules: #.... ipfw -q add deny tcp from "table(1)" to any 25 #.... У нас скрипт работает на шейпере, обслуживающем только заграничный канал. Местный трафик им не анализируется и не блокируется. При этом большая часть "хорошей" почты ходит именно по местным каналам, но спамеры спамят в основном по заграничному каналу. Так что лимиты вам наверняка придется подстроить под себя. Возможно, вам придется также реализовать "белый список", если у вас есть очень активные SMTP-сервера. На момент написания статьи в "расстрельном списке" несколько десятков хостов. Жалоб за истекшие сутки не поступало, хотя раньше их было множество.

2.2, Банзай, 11:38, 24/08/2009 [^] [ответить] [смотреть все] [показать ветку]	+/–
Не умеет ... весь текст скрыт [показать] [показать ветку]

3.6, Аноним, 13:51, 24/08/2009 [^] [ответить] [смотреть все]	+/–
Умеет, конечно ... весь текст скрыт [показать]

4.9, Щекн Итрч, 02:37, 25/08/2009 [^] [ответить] [смотреть все]	+/–
Попробуйте и доложите Желательно с дешифрованными tpcdump ом логами, иллюструющ... весь текст скрыт [показать]

5.14, ws, 11:57, 25/08/2009 [^] [ответить] [смотреть все]	+/–
Где-то так table smtp_bruteforce persist block drop in quick from smtp_brute... весь текст скрыт [показать]

6.23, pavlinux, 20:11, 25/08/2009 [^] [ответить] [смотреть все]	+/–
А где ключевые слова умеет самостоятельно ... весь текст скрыт [показать]

6.26, Щекн Итрч, 00:04, 26/08/2009 [^] [ответить] [смотреть все]	+/–
Где-то или есть логи, иллюстрирующие гипотезу Можно фрагмент лога ... весь текст скрыт [показать]

7.30, ws, 10:22, 26/08/2009 [^] [ответить] [смотреть все]	+/–
У меня большой сети зомбируемых машин нет Поэтому оставлю вам это на самопрораб... весь текст скрыт [показать]

8.32, настоящий_аноним, 15:39, 26/08/2009 [^] [ответить] [смотреть все]	+/–
Мой друг, это же классика Про max-src-conn-rate pf hashlimit iptables знает... весь текст скрыт [показать]

9.35, настоящий_аноним, 15:47, 26/08/2009 [^] [ответить] [смотреть все]	+/–
Причем таймаут хранится для каждой записи отдельно ... весь текст скрыт [показать]

9.37, ws, 16:46, 26/08/2009 [^] [ответить] [смотреть все]	+/–
Естественно И применимая в текущей задаче Так и в pf таймауты в таблице выс... весь текст скрыт [показать]

10.39, аноним, 01:03, 27/08/2009 [^] [ответить] [смотреть все]	+/–
Если уж быть строгим и занудным до конца, то и iptables, и ipset - это всего лиш... весь текст скрыт [показать]

2.3, Дима Иванов, 12:21, 24/08/2009 [^] [ответить] [смотреть все] [показать ветку]	+/–
Здесь дело не в количестве соединений, а в количестве IP-адресов, с которыми уст... весь текст скрыт [показать] [показать ветку]

2.24, andrew, 20:29, 25/08/2009 [^] [ответить] [смотреть все] [показать ветку]	+/–
Нда Скрипт на двести строчек и три-четыре строчки на iptables и pf Наглядно... весь текст скрыт [показать] [показать ветку]

3.27, Щекн Итрч, 00:05, 26/08/2009 [^] [ответить] [смотреть все]	+/–
НЕ работают три-четыре строчки на iptables и pf НЕ работают Бабушку свою жит... весь текст скрыт [показать]

4.31, аноним, 11:02, 26/08/2009 [^] [ответить] [смотреть все]	+/–
А у меня - работают Причем далеко не на одном сервере Вопрос у кого из нас дв... весь текст скрыт [показать]

4.33, настоящий_аноним, 15:44, 26/08/2009 [^] [ответить] [смотреть все]	+/–
Полагаю, проблема не у iptables и pf , а у вас Где-то в области dev hands либ... весь текст скрыт [показать]

2.12, shadow_alone, 05:21, 25/08/2009 [^] [ответить] [смотреть все] [показать ветку]	+/–
очень интересно, из-за кого-то одного будут страдать все - это во первых Во вто... весь текст скрыт [показать] [показать ветку]

3.13, .snake, 06:23, 25/08/2009 [^] [ответить] [смотреть все]	+/–
Страдать будет только тот кто спамит, проверено Префикс 16 указан для примера... весь текст скрыт [показать]

3.16, настоящий_аноним, 13:11, 25/08/2009 [^] [ответить] [смотреть все]	+/–
Мсье самый умный Мсье никогда не читает документацию Шагом марш читать man ipt... весь текст скрыт [показать]

4.17, shadow_alone, 13:16, 25/08/2009 [^] [ответить] [смотреть все]	+/–
Мсье не страдает такой хренью, ибо ... весь текст скрыт [показать]

5.18, настоящий_аноним, 14:05, 25/08/2009 [^] [ответить] [смотреть все]	+/–
Ибо считает, что лучше написать двадцать тормозных велосипедов по сто килобайт к... весь текст скрыт [показать]

6.19, shadow_alone, 14:18, 25/08/2009 [^] [ответить] [смотреть все]	+/–
совершенно неправильно сплошной, блин, офф топ лучше по русски - не по ... весь текст скрыт [показать]

2.28, Щекн Итрч, 00:06, 26/08/2009 [^] [ответить] [смотреть все] [показать ветку]	+/–
>многабукаф в перле. может и красиво, но оч тяжело. >у меня на шеле в 5 строк влезло. И не слабО их здесь привести? Что-то мешает? Шарики?

2.34, настоящий_аноним, 15:46, 26/08/2009 [^] [ответить] [смотреть все] [показать ветку]	+/–
>у меня на шеле в 5 строк влезло. У меня на iptables 3-4. У товарища выше на pf - 3. Что вы там так длинно пишете? ;)

Автоматизация борьбы со спамботами в своей сети	[исправить]
Администраторы больших сетей регулярно получают жалобы на исходящий из них спам. Получив жалобу, можно найти виновного и устранить проблему. Но нехорошо узнавать о таких делах только от чужих людей. Спамеров вполне можно вычислить самому, и принять меры раньше, чем кто-то пострадает. Чисто интуитивно достаточно запустить tcpdump на исходящем канале, и посмотреть, какие IP-адреса больше в сего посылают SYN-пакетов на 25 порт. tcpdump -ni bridge0 'tcp[tcpflags] & tcp-syn != 0 and dst port 25' В идеале это был бы ваш SMTP-сервер. В действительности вы увидите в основном IP-адреса простых пользователей, "одержимых бесами". Дело в том, что обычный спамбот создает SMTP-соединений во много раз больше вашего почтового сервера. Причем с разными IP-адресами. В наши дни все нормальные почтовые сервера имеют PTR-запись DNS. Простые клиенты, напротив, такой записи обычно не имеют. Если почтовый сервер может устанавливать SMTP-соединения со множеством IP-адресов, то для простого клиента эта величина обычно не более 1-2 (например, пользование удаленными SMTP-серверами с лаптопа). Исходя из этого, можно автоматически определять спамботов в нашей сети, и блокировать их (например, средствами IPFW). В качестве критерия оценки мы установили максимальное количество IP-адресов, с которыми каждый хост может общаться по SMTP в течение 5 минут. Для хостов с реверсной записью DNS это 200, для хостов без реверсной записи - 20. Если хост превышает этот лимит, он попадает в черный список на сутки. Нами написан Perl-скрипт, запускающий tcpdump на 5 минут, и анализирующий результаты. Хосты-нарушители заносятся в таблицу PostgreSQL для удобства персонала, и затем помещаются в таблицу IPFW. Правила файрвола блокируют все соединения на 25 порт с хостов, находящихся в данной таблице. Текст скрипта: #!/usr/local/bin/perl # dimss@stalin.lv 2009-08-20 my $colltime = 300; # How long to collect data my $rev_limit = 200; # Remote IP limit for hosts with PTR record my $norev_limit = 20; # Remote IP limit for hosts without PTR record my $table_no = 1; # Number of IPFW table use strict; use warnings; use POSIX ':signal_h'; use Socket; use DBI; # # Collect data # Run tcpdump for some time # my $conns = {}; my $mask = POSIX::SigSet->new( SIGALRM ); my $action = POSIX::SigAction->new( sub { system("killall tcpdump"); }, $mask ); my $oldaction = POSIX::SigAction->new(); sigaction(14, $action, $oldaction); alarm($colltime); # Run tcpdump for this amount of time open(T, "/usr/sbin/tcpdump -ni bridge0 'tcp[tcpflags] & tcp-syn != 0 " . "and dst port 25' " . "2>/dev/null \|") or die; while(<T>){ /\ ((\d+\.){3}\d+).+?((\d+\.){3}\d+)/; my $locip = $1; my $remip = $3; #print "$locip $remip\n"; $conns->{$locip} \|\|= {}; $conns->{$locip}->{$remip} \|\|= 1; } alarm(0); sleep(1); # # Analyze connections # $mask = POSIX::SigSet->new( SIGALRM ); $action = POSIX::SigAction->new( sub { die("Reverse lookup took too long"); }, $mask ); $oldaction = POSIX::SigAction->new(); sigaction(14, $action, $oldaction); alarm(60); # Reverse DNS lookups must complete within this period my %concount; my %bots; for my $locip (keys(%$conns)){ #print("Loc IP: $locip\n"); my $cnt = 0; for my $remip (keys(%{$conns->{$locip}})){ #print(" Rem IP: $remip\n"); $cnt++; } $concount{$locip} = $cnt; } for my $locip (sort {$concount{$b} <=> $concount{$a}} keys(%concount)){ if($concount{$locip} > $norev_limit){ my $ip = inet_aton($locip); my $name = gethostbyaddr($ip, AF_INET); if($concount{$locip} > ($name ? $rev_limit : $norev_limit)){ #print("$locip: $concount{$locip} (" . ($name \|\| '') . ")\n"); $bots{$locip} = $name; } } } alarm(0); # # Update database # $mask = POSIX::SigSet->new( SIGALRM ); $action = POSIX::SigAction->new( sub { die("Database timeout"); }, $mask ); $oldaction = POSIX::SigAction->new(); sigaction(14, $action, $oldaction); alarm(15); my $dbh = DBI->connect("dbi:Pg:host=db.host.tld;dbname=spambot", "spambot", "passwd"); if(!$dbh) { die("Cannot connect to DB"); } my $query; my $sth; my $rv; for my $botip (keys(%bots)){ #print "$botip\n"; my $qname = $dbh->quote($bots{$botip}); $query = " update spambot_hosts set active_till = now() + '1 days', hostname = $qname where ip = '$botip' "; $sth = $dbh->prepare($query); $rv = $sth->execute(); if($rv != 1){ $query = " insert into spambot_hosts (ip, hostname, active_till) values ('$botip', $qname, now() + '1 days') "; $sth = $dbh->prepare($query); $sth->execute(); } } $query = " delete from spambot_hosts where active_till < now() "; $sth = $dbh->prepare($query); $sth->execute(); # # Get full list of banned hosts from DB # $query = " select ip from spambot_hosts "; $sth = $dbh->prepare($query); $sth->execute(); my %dlist; while(my $row = $sth->fetchrow_hashref){ $dlist{$row->{ip}} = 1; } undef $dbh; alarm(0); # # Read list of banned hosts from kernel (ipfw) table # my %klist; if(open(KTABLE, "/sbin/ipfw table $table_no list\|")){ while(<KTABLE>){ chomp(); s/\/32//; my ($prefix, $queue) = split(); $klist{$prefix} = 1; } close(KTABLE); } # # Update kernel table # for my $host (keys(%dlist)){ unless($klist{$host}){ #print "Add $host\n"; system("/sbin/ipfw table $table_no add $host"); } } for my $host (keys(%klist)){ unless($dlist{$host}){ #print "Remove $host\n"; system("/sbin/ipfw table $table_no delete $host"); } } exit; Из /etc/ipfw.rules: #.... ipfw -q add deny tcp from "table(1)" to any 25 #.... У нас скрипт работает на шейпере, обслуживающем только заграничный канал. Местный трафик им не анализируется и не блокируется. При этом большая часть "хорошей" почты ходит именно по местным каналам, но спамеры спамят в основном по заграничному каналу. Так что лимиты вам наверняка придется подстроить под себя. Возможно, вам придется также реализовать "белый список", если у вас есть очень активные SMTP-сервера. На момент написания статьи в "расстрельном списке" несколько десятков хостов. Жалоб за истекшие сутки не поступало, хотя раньше их было множество.

24.08.2009 , Автор: Дмитрий Иванов Ключи: spam, virus, mail, filter, (найти похожие документы)
Раздел: Корень / Администратору / Сетевые сервисы / Mail, почта / Борьба со спамом, фильтрация почты