linux user group brescia

Ciao,
   se avete del tempo da buttare continuate a leggere, diversamente fermatevi.

   Premessa: tutto il know how raccolto in precedenza e che emergera'
in futuro sara' oggetto di una serata all'ITIS, per gli interessati,
sia in termini di codice che di dati.

   Parliamo di antispam, in particolare dello spam che attanaglia il
server del Lug.
   Per farla molto, molto breve, diciamo che allo stato attuale
(demandiamo alla serata di cui sopra le spiegazioni sullo stato
attuale), abbiamo un pool di IP univoci, che va dalle 4.000 alle 6.000
unita', che giornalmente contatta il server del Lug. Attenzione: parlo
di IP univoci, ovviamente il numero di connessioni totali è un altro
discorso.
   Qualche dato (che andrebbe spiegato a modino) lo trovate qui:
   http://spam.lugbs.linux.it/spam/
   L'idea è che piu' le cifre sono basse, meglio è.

   Aggregando i dati e analizzandoli (cosa che ho fatto negli ultimi
mesi), si nota un effetto curioso: le classi di indirizzi da cui parte
il grosso dello spam sono decisamente poche:
   lino /opt #  ./fucklog_utils.py -t|sort -n|tail
   2758 94
   2788 122
   2935 113
   3096 95
   3226 41
   3285 201
   3360 89
   3521 189
   3679 123
   4775 190

   La prima colonna rappresenta il numero di IP coinvolti, la seconda
la classe A degli stessi.

   Non solo, pare che il grosso (ma è quello che vorrei appurare),
parta da classi di IP residenziali, o comunque dei quali è nota
l'impossibilita' di accettare email.
   Per fare questo ho scritto un po' di robaccia che setaccia gli
spazi di indirizzamento dei grossi network.
   Il problema è che sono talmente ampi che richiederebbero un tempo
non indifferente per essere scovati via forza bruta.
   Esistono elenchi, però, di detti spazi, gia' pronti, ma costano un
mucchio di danari.
   Possono pero' essere consultati, per esempio attraverso
spamhaus.org (e nella fattispecie attraverso la lista PBL).

   In sostanza, andando a questo indirizzo:
   http://spam.lugbs.linux.it/pbl_check.php

   viene tornato un IP. Cliccandoci sopra (preferibilmente con il
tasto centrale del mouse, per avere la pagina in un nuovo tab), si
viene spediti alla relativa pagina di spamhaus, che indica, al centro,
una cosa come questa:
   x.x.x.x is listed in the PBL
   e sotto:
   PBLxxxxxx

   Cliccando su quest'ultimo link si ottiene una nuova pagina, che
riporta un indirizzo CIDR in rosso (il dato che ci interessa):
   x.x.x.x/18 (la cifra dopo lo slash, tanto per capirci, può andare da 1 a 32).

   Prendiamo questo dato e lo mettiamo nella form originaria, da dove
siamo partiti.
   Premiamo su invia (o facciamo semplicemente invio).

   A questo punto, fatto salvo problemi, ci viene proposto un altro
IP, e il gioco ricomincia.

   Il contatore alla base ci dice quanti IP da controllare mancano.

   Tipo, ora sono 8555, una cifra notevole, ma, se vogliamo giocare
con i numeri, possiamo dire che se ogni iscritto a questa mailing list
si smazzasse 44 IP la lista verrebbe gia' azzerata.

   Al momento ne ho fatti circa un migliaio, e gli effetti sembrano
essere positivi (ma per averne certezza bisognera' misurare sui
prossimi mesi).

   Al solito, per qualsiasi dubbio potete scrivermi anche privatamente.

A presto,
gelma