linux user group brescia

Il giorno 05 maggio 2010 22.52, Andrea Gelmini <
andrea.gelmini a lugbs.linux.it> ha scritto:

> Ciao,
>   se avete del tempo da buttare continuate a leggere, diversamente
> fermatevi.
>
>   Premessa: tutto il know how raccolto in precedenza e che emergera'
> in futuro sara' oggetto di una serata all'ITIS, per gli interessati,
> sia in termini di codice che di dati.
>
>   Parliamo di antispam, in particolare dello spam che attanaglia il
> server del Lug.
>   Per farla molto, molto breve, diciamo che allo stato attuale
> (demandiamo alla serata di cui sopra le spiegazioni sullo stato
> attuale), abbiamo un pool di IP univoci, che va dalle 4.000 alle 6.000
> unita', che giornalmente contatta il server del Lug. Attenzione: parlo
> di IP univoci, ovviamente il numero di connessioni totali è un altro
> discorso.
>   Qualche dato (che andrebbe spiegato a modino) lo trovate qui:
>   http://spam.lugbs.linux.it/spam/
>   L'idea è che piu' le cifre sono basse, meglio è.
>
>   Aggregando i dati e analizzandoli (cosa che ho fatto negli ultimi
> mesi), si nota un effetto curioso: le classi di indirizzi da cui parte
> il grosso dello spam sono decisamente poche:
>   lino /opt #  ./fucklog_utils.py -t|sort -n|tail
>   2758 94
>   2788 122
>   2935 113
>   3096 95
>   3226 41
>   3285 201
>   3360 89
>   3521 189
>   3679 123
>   4775 190
>
>   La prima colonna rappresenta il numero di IP coinvolti, la seconda
> la classe A degli stessi.
>
>   Non solo, pare che il grosso (ma è quello che vorrei appurare),
> parta da classi di IP residenziali, o comunque dei quali è nota
> l'impossibilita' di accettare email.
>   Per fare questo ho scritto un po' di robaccia che setaccia gli
> spazi di indirizzamento dei grossi network.
>   Il problema è che sono talmente ampi che richiederebbero un tempo
> non indifferente per essere scovati via forza bruta.
>   Esistono elenchi, però, di detti spazi, gia' pronti, ma costano un
> mucchio di danari.
>   Possono pero' essere consultati, per esempio attraverso
> spamhaus.org (e nella fattispecie attraverso la lista PBL).
>
>   In sostanza, andando a questo indirizzo:
>   http://spam.lugbs.linux.it/pbl_check.php
>
>   viene tornato un IP. Cliccandoci sopra (preferibilmente con il
> tasto centrale del mouse, per avere la pagina in un nuovo tab), si
> viene spediti alla relativa pagina di spamhaus, che indica, al centro,
> una cosa come questa:
>   x.x.x.x is listed in the PBL
>   e sotto:
>   PBLxxxxxx
>
>   Cliccando su quest'ultimo link si ottiene una nuova pagina, che
> riporta un indirizzo CIDR in rosso (il dato che ci interessa):
>   x.x.x.x/18 (la cifra dopo lo slash, tanto per capirci, può andare da 1 a
> 32).
>
>   Prendiamo questo dato e lo mettiamo nella form originaria, da dove
> siamo partiti.
>   Premiamo su invia (o facciamo semplicemente invio).
>
>   A questo punto, fatto salvo problemi, ci viene proposto un altro
> IP, e il gioco ricomincia.
>
>   Il contatore alla base ci dice quanti IP da controllare mancano.
>
>   Tipo, ora sono 8555, una cifra notevole, ma, se vogliamo giocare
> con i numeri, possiamo dire che se ogni iscritto a questa mailing list
> si smazzasse 44 IP la lista verrebbe gia' azzerata.
>
>   Al momento ne ho fatti circa un migliaio, e gli effetti sembrano
> essere positivi (ma per averne certezza bisognera' misurare sui
> prossimi mesi).
>
>   Al solito, per qualsiasi dubbio potete scrivermi anche privatamente.
>
> A presto,
> gelma
>
> --
>

siii, fatti una ventina domani proseguo con il giochino ;-P
ciao
ALE
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lugbs.linux.it/pipermail/lug/attachments/20100505/2751fde9/attachment.html>