[LugBS] Spic & Span...
Diego Monselice
info a diegomonselice.it
Gio 6 Maggio 2010 13:51:11 UTC
ok, ho capito finalmente... eheheheh io copiavo solo il numerino e non
me lo prendeva... ora ho capito, bisogna copiare tutto x.x.x.x/n
ma scusate, non si può automatizzare 'sta cosa?!
Il giorno mer, 05/05/2010 alle 22.52 +0200, Andrea Gelmini ha scritto:
> Ciao,
> se avete del tempo da buttare continuate a leggere, diversamente fermatevi.
>
> Premessa: tutto il know how raccolto in precedenza e che emergera'
> in futuro sara' oggetto di una serata all'ITIS, per gli interessati,
> sia in termini di codice che di dati.
>
> Parliamo di antispam, in particolare dello spam che attanaglia il
> server del Lug.
> Per farla molto, molto breve, diciamo che allo stato attuale
> (demandiamo alla serata di cui sopra le spiegazioni sullo stato
> attuale), abbiamo un pool di IP univoci, che va dalle 4.000 alle 6.000
> unita', che giornalmente contatta il server del Lug. Attenzione: parlo
> di IP univoci, ovviamente il numero di connessioni totali è un altro
> discorso.
> Qualche dato (che andrebbe spiegato a modino) lo trovate qui:
> http://spam.lugbs.linux.it/spam/
> L'idea è che piu' le cifre sono basse, meglio è.
>
> Aggregando i dati e analizzandoli (cosa che ho fatto negli ultimi
> mesi), si nota un effetto curioso: le classi di indirizzi da cui parte
> il grosso dello spam sono decisamente poche:
> lino /opt # ./fucklog_utils.py -t|sort -n|tail
> 2758 94
> 2788 122
> 2935 113
> 3096 95
> 3226 41
> 3285 201
> 3360 89
> 3521 189
> 3679 123
> 4775 190
>
> La prima colonna rappresenta il numero di IP coinvolti, la seconda
> la classe A degli stessi.
>
> Non solo, pare che il grosso (ma è quello che vorrei appurare),
> parta da classi di IP residenziali, o comunque dei quali è nota
> l'impossibilita' di accettare email.
> Per fare questo ho scritto un po' di robaccia che setaccia gli
> spazi di indirizzamento dei grossi network.
> Il problema è che sono talmente ampi che richiederebbero un tempo
> non indifferente per essere scovati via forza bruta.
> Esistono elenchi, però, di detti spazi, gia' pronti, ma costano un
> mucchio di danari.
> Possono pero' essere consultati, per esempio attraverso
> spamhaus.org (e nella fattispecie attraverso la lista PBL).
>
> In sostanza, andando a questo indirizzo:
> http://spam.lugbs.linux.it/pbl_check.php
>
> viene tornato un IP. Cliccandoci sopra (preferibilmente con il
> tasto centrale del mouse, per avere la pagina in un nuovo tab), si
> viene spediti alla relativa pagina di spamhaus, che indica, al centro,
> una cosa come questa:
> x.x.x.x is listed in the PBL
> e sotto:
> PBLxxxxxx
>
> Cliccando su quest'ultimo link si ottiene una nuova pagina, che
> riporta un indirizzo CIDR in rosso (il dato che ci interessa):
> x.x.x.x/18 (la cifra dopo lo slash, tanto per capirci, può andare da 1 a 32).
>
> Prendiamo questo dato e lo mettiamo nella form originaria, da dove
> siamo partiti.
> Premiamo su invia (o facciamo semplicemente invio).
>
> A questo punto, fatto salvo problemi, ci viene proposto un altro
> IP, e il gioco ricomincia.
>
> Il contatore alla base ci dice quanti IP da controllare mancano.
>
> Tipo, ora sono 8555, una cifra notevole, ma, se vogliamo giocare
> con i numeri, possiamo dire che se ogni iscritto a questa mailing list
> si smazzasse 44 IP la lista verrebbe gia' azzerata.
>
> Al momento ne ho fatti circa un migliaio, e gli effetti sembrano
> essere positivi (ma per averne certezza bisognera' misurare sui
> prossimi mesi).
>
> Al solito, per qualsiasi dubbio potete scrivermi anche privatamente.
>
> A presto,
> gelma
>
--
~~~~~~~~~~~~~~~~~~~~~~~~~
Diego Monselice
-----------------------
www.diegomonselice.it
info a diegomonselice.it
TIM: (+39) 339 25 68 172
Vodafone: (+39) 347 99 39 028
~~~~~~~~~~~~~~~~~~~~~~~~~
Maggiori informazioni sulla lista
Lug
|