[LugBS] Spic & Span...
Andrea Gelmini
andrea.gelmini a lugbs.linux.it
Mer 5 Maggio 2010 20:52:10 UTC
Ciao,
se avete del tempo da buttare continuate a leggere, diversamente fermatevi.
Premessa: tutto il know how raccolto in precedenza e che emergera'
in futuro sara' oggetto di una serata all'ITIS, per gli interessati,
sia in termini di codice che di dati.
Parliamo di antispam, in particolare dello spam che attanaglia il
server del Lug.
Per farla molto, molto breve, diciamo che allo stato attuale
(demandiamo alla serata di cui sopra le spiegazioni sullo stato
attuale), abbiamo un pool di IP univoci, che va dalle 4.000 alle 6.000
unita', che giornalmente contatta il server del Lug. Attenzione: parlo
di IP univoci, ovviamente il numero di connessioni totali è un altro
discorso.
Qualche dato (che andrebbe spiegato a modino) lo trovate qui:
http://spam.lugbs.linux.it/spam/
L'idea è che piu' le cifre sono basse, meglio è.
Aggregando i dati e analizzandoli (cosa che ho fatto negli ultimi
mesi), si nota un effetto curioso: le classi di indirizzi da cui parte
il grosso dello spam sono decisamente poche:
lino /opt # ./fucklog_utils.py -t|sort -n|tail
2758 94
2788 122
2935 113
3096 95
3226 41
3285 201
3360 89
3521 189
3679 123
4775 190
La prima colonna rappresenta il numero di IP coinvolti, la seconda
la classe A degli stessi.
Non solo, pare che il grosso (ma è quello che vorrei appurare),
parta da classi di IP residenziali, o comunque dei quali è nota
l'impossibilita' di accettare email.
Per fare questo ho scritto un po' di robaccia che setaccia gli
spazi di indirizzamento dei grossi network.
Il problema è che sono talmente ampi che richiederebbero un tempo
non indifferente per essere scovati via forza bruta.
Esistono elenchi, però, di detti spazi, gia' pronti, ma costano un
mucchio di danari.
Possono pero' essere consultati, per esempio attraverso
spamhaus.org (e nella fattispecie attraverso la lista PBL).
In sostanza, andando a questo indirizzo:
http://spam.lugbs.linux.it/pbl_check.php
viene tornato un IP. Cliccandoci sopra (preferibilmente con il
tasto centrale del mouse, per avere la pagina in un nuovo tab), si
viene spediti alla relativa pagina di spamhaus, che indica, al centro,
una cosa come questa:
x.x.x.x is listed in the PBL
e sotto:
PBLxxxxxx
Cliccando su quest'ultimo link si ottiene una nuova pagina, che
riporta un indirizzo CIDR in rosso (il dato che ci interessa):
x.x.x.x/18 (la cifra dopo lo slash, tanto per capirci, può andare da 1 a 32).
Prendiamo questo dato e lo mettiamo nella form originaria, da dove
siamo partiti.
Premiamo su invia (o facciamo semplicemente invio).
A questo punto, fatto salvo problemi, ci viene proposto un altro
IP, e il gioco ricomincia.
Il contatore alla base ci dice quanti IP da controllare mancano.
Tipo, ora sono 8555, una cifra notevole, ma, se vogliamo giocare
con i numeri, possiamo dire che se ogni iscritto a questa mailing list
si smazzasse 44 IP la lista verrebbe gia' azzerata.
Al momento ne ho fatti circa un migliaio, e gli effetti sembrano
essere positivi (ma per averne certezza bisognera' misurare sui
prossimi mesi).
Al solito, per qualsiasi dubbio potete scrivermi anche privatamente.
A presto,
gelma
Maggiori informazioni sulla lista
Lug
|