Mittwoch, 13. Juni 2007
Angriff auf die ix.dnsbl.manitu.net
Wie schon bei Heise veröffentlicht, wissen sich die geistig behinderten, einfach nur dummen Spammer nun nicht mehr zu helfen. Sie greifen die Blacklists an, auf denen sie stehen.
So nun auch die ix.dnsbl.manitu.net, via dDoS. Derzeit überlegen Bert Ungerer, "Vater" von NixSpam, und ich, ob wir das Abfragen der Blacklist auf Whitelist-Basis machen. Dann können die Spammer so viel dDoS'en, wie sie möchten.
Daher ein Aufruf an alle
Wer die Liste abfragen möchte, schicke mir bitte eine E-Mail mit der oder den IP-Adressen, von der aus er abfragt, ggf. eine Range. Bitte dabei beachten, dass die Abfrage evtl. nicht der Mailserver, sondern der hauseigene DNS-Server erledigt!
So nun auch die ix.dnsbl.manitu.net, via dDoS. Derzeit überlegen Bert Ungerer, "Vater" von NixSpam, und ich, ob wir das Abfragen der Blacklist auf Whitelist-Basis machen. Dann können die Spammer so viel dDoS'en, wie sie möchten.
Daher ein Aufruf an alle
Wer die Liste abfragen möchte, schicke mir bitte eine E-Mail mit der oder den IP-Adressen, von der aus er abfragt, ggf. eine Range. Bitte dabei beachten, dass die Abfrage evtl. nicht der Mailserver, sondern der hauseigene DNS-Server erledigt!
Trackbacks
Trackback-URL für diesen Eintrag
Keine Trackbacks
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
Ich hoffe mal, dass Du nicht allen Ernstes geistig Behinderte mit mutwillig destruktiven Schwachmaten gleichsetzt. Wenn wir uns noch mal ins Gedächtnis rufen, was eine geistige Behinderung ist und wie diese zustande kommt, dann wissen wir, dass dies nichts mit diesen Idioten zu tun hat…
wenn die das mehrere Tage machen und dann gleichzeitig noch viele Mails rausjagen könnte die nächste Woche stressig werden.
Ich habe jetzt die 3 DNS-BLs rausgenommen aber wenn die Spammer merken das es funktioniert dann dürften bald alle Listen (zumindest kurzzeitig) verschwinden.
Mich wunderts, dass bei Heise die Manitu-Liste noch nicht als Nachricht rausgebracht haben.
Ich habe jetzt die 3 DNS-BLs rausgenommen aber wenn die Spammer merken das es funktioniert dann dürften bald alle Listen (zumindest kurzzeitig) verschwinden.
Mich wunderts, dass bei Heise die Manitu-Liste noch nicht als Nachricht rausgebracht haben.
Und wir wundern uns warum gerade keine Mails mehr zu uns durch kommen :-/
Meine persönliche Empfehlung gegen Werbemails ist eine Kombination aus DSpam und Spamassassin. Zumindest bei meiner Mailnutzung habe ich recht schnell eine sehr gute Trefferquote erreicht, und zwar sowohl bei Spam-, als auch Ham-Mails.
Da braucht man dann auch keine Blacklists, die für irgendwelche Trottel angreifbar sind.
Da braucht man dann auch keine Blacklists, die für irgendwelche Trottel angreifbar sind.
Tollen Service habt ihr, aber leider war der DNS-Server bisschen langsam, dadurch gab es dann einfach zu viele SMTPD-Prozesse (>250, anstatt ~50).
Jetzt hol ich mir einfach die Liste der blackmatches (http://www.heise.de/ix/nixspam/nixspam.blackmatches) und füttere damit einen lokalen rbldns für unsere MXe.
Jetzt hol ich mir einfach die Liste der blackmatches (http://www.heise.de/ix/nixspam/nixspam.blackmatches) und füttere damit einen lokalen rbldns für unsere MXe.
Wie bereits berichtet: Wir stellen ja auf BIND um. Bitte noch ein bisschen abwarten 
wer es nicht schafft die anzahl der prozesse so zu konfigurieren, daß das system nicht beim ersten problem alle viere von sich streckt sollte darueber nachdenken den beruf zu wechseln..
Kritik ist immer einfacher, wenn man nicht mehr darüber weiß als "Es gibt Prozesslimits"
nun sagen wir es so.. die von mir betreuten systeme hatten kein problem damit, das mit einem mal drei der fuenf rbls nicht verfuegbar waren. spamhaus und so waren gestern naemlich ebenfalls eine weile nicht erreichbar..
Wie DDoS'en die denn? Einfach superviele DNS-Abfragen? Die technische Seite finde ich sehr interessant...
Ich werde dazu in Kürze mehr berichten, bis dahin bin ich zusammen mit den anderen Jungs am "Problem" an sich dran.
Hm. Wenigstens kann man die ddos-IPs gleich in die Liste mit aufnehmen Die eigene Abfrage wird wohl meistens über den hauseigenen DNS erfolgen. Und wenn man dann ganz viele DNS-Server von diversen Hostern auf die Whiteliste setzt bzw. sogar die Ranges, dann sind die Bösen auch auf der Whitelist. Kommt aber natürlich drauf an, aus welchem Raum der Angriff kam.
Die eigene Abfrage wird wohl meistens über den hauseigenen DNS erfolgen. Und wenn man dann ganz viele DNS-Server von diversen Hostern auf die Whiteliste setzt bzw. sogar die Ranges, dann sind die Bösen auch auf der Whitelist. Kommt aber natürlich drauf an, aus welchem Raum der Angriff kam.
QUOTE:
Und wenn man dann ganz viele DNS-Server von diversen Hostern auf die Whiteliste setzt bzw. sogar die Ranges, dann sind die Bösen auch auf der Whitelist. Kommt aber natürlich drauf an, aus welchem Raum der Angriff kam.
Setzt man nur die DNS Server auf die Liste, so kommen die bösen damit nicht drauf. Den in den seltensten Fällen werden sie die DNS Server unter ihre Kontrolle bekommen.
Auch wenns Aufwand wäre, wie wäre es denn mit zwei Listen mit gleichem Inhalt? Eine, auf die jeder zugreifen kann und eine per Whitelist. Somit hätte jeder, der etwas Aufwand betreibt, eine relativ ausfallsichere Liste und alle anderen in den meisten Fällen auch eine Liste. Setzt natürlich zwei Rechner voraus (oder mindestens zwei IPs)
Der "ungeschützte" Server wäre beim derzeitigen Anfragevolumen nicht mehr in der Lage. Nur zum Verständnis: Hohe fünfstellige Abfrager pro Sekunde. Und wenn der Angreifende will, kann er das noch erhöhen.
QUOTE:
Wie bereits berichtet: Wir stellen ja auf BIND um.
QUOTE:
Hohe fünfstellige Abfrager pro Sekunde.
Ob das ein BIND leisten kann, wage ich zu bezweifeln, vierstellige, um die 50000, ok. Dazu brauch es aber schon sehr sehr gute Hardware und einen sehr sehr guten Kernel. Bei 5stelligen brauch es schon Balancing, wobei auch da ein sehr guter Balancer von Noeten ist (quasi unmoeglich, da Sockets vom Kernel singlethreaded behandelt werden). Ein RoundRobin fuer NS mit kurzer TTL waere evtl noch eine Loesung.
Aber, wenn ihr sagt, dass das mit port 53 default deny, 1.2.3.4 accept handlebar ist, gaenge es evtl auch ueber iptables/LoadBalancing (http://linuxgazette.net/108/odonovan.html)
Err! Mathe, 3. Klasse. 5-stellig ist ja nnnnn und nich n00000. Gut, bei nnnnn Anfragen koennte man mit BIND noch was reissen, aber, ich wuerde dennoch das LoadBalancing ueber Iptables in's Auge fassen.
QUOTE:
Setzt man nur die DNS Server auf die Liste, so kommen die bösen damit nicht drauf. Den in den seltensten Fällen werden sie die DNS Server unter ihre Kontrolle bekommen.
Ich hab doch geschrieben, wenn man die Ranges nimmt. Das wird ja dann auch der Fall sein. Oder soll man sich bei jedem, der einen grösseren Adressraum hat die DNS-Server selber raussuchen? Und dann einmal im Monat alle überprüfen, ob sich welche geändert haben?
Wer die Liste abfragen möchte, schicke mir bitte eine E-Mail mit der oder den IP-Adressen, von der aus
er abfragt, ggf. eine Range.
Gegen solche Attacken hilft nicht viel, genau gesagt nur eins: Mehr Bandbreite zur Verfuegung haben.
Alles was du sonst versuchst, ist nur ein temporaerer Workaround. Machst du deine Nameserver nur fuer bestimmte Ranges dicht, wird halt was anderes beschossen. Das Wort Kollateralschaden wurde von den Spammern schliesslich erfunden.
Etwas anderes, was dich temporaer erleichtern wuerde, waere ein Anycast Setup; oder den Traffic bereits an Bordern deines Autonomen Systems wegfiltern - oder noch besser vom Peer blackholen lassen. (Stichwort: BGP Blackhole Communities)
Wenn du noch ein DoS Ziel zum Ueben brauchst, ich kenne da noch einen Service, der gerne beschossen wird und immer auf der Suche nach willigem NOC ist.
Welche Form von Kollateralschaden soll man denn gegen die Blacklist produzieren? Sie besteht ja quasi nur aus dem reinen DNS-Dienst!
Die Bandbreite ist sicher auch nicht das Problem
Die Bandbreite ist sicher auch nicht das Problem
Der Betreiber eines Dienstes kann aber einen Kollateralschaden erleiden - und das nicht zu knapp.
um mal eine ganz einfache Analogie zu ziehen: wenn der spammer deinen DNS Dienst nicht ausknocken kann, weil du diesen filterst, dann attackiert er deinen Webserver - damit entsteht dir schaden, denn du kannst nichts mehr verkaufen-
um mal eine ganz einfache Analogie zu ziehen: wenn der spammer deinen DNS Dienst nicht ausknocken kann, weil du diesen filterst, dann attackiert er deinen Webserver - damit entsteht dir schaden, denn du kannst nichts mehr verkaufen-
na aber hallo. hostblogger gehört zum täglichen newsfeed dazu
geil wie klein die welt doch ist.
geil wie klein die welt doch ist.
mist, mein kommentar von gestern ist wohl nicht angekommen 
also:
ich denke, dass es am sinnvollsten waere, den service mehr zu dezentralisieren. statt eines einzelnen servers sind mehrere server, die sich gegenseitig updatewn sinnvoll, und diese server sind auch nicht fuer die allgemeinheit, sondern dienen nur als quelle fuer eine ganze armada von servern, die dann letztendlich die abfragen bekommen, und nur diese oeffentlichen server duerfen auf die eigentlichen server zugreifen.
so weit die kurzfassung von gestern.
also:
ich denke, dass es am sinnvollsten waere, den service mehr zu dezentralisieren. statt eines einzelnen servers sind mehrere server, die sich gegenseitig updatewn sinnvoll, und diese server sind auch nicht fuer die allgemeinheit, sondern dienen nur als quelle fuer eine ganze armada von servern, die dann letztendlich die abfragen bekommen, und nur diese oeffentlichen server duerfen auf die eigentlichen server zugreifen.
so weit die kurzfassung von gestern.
Genau daran arbeiten wir ja derzeit.
Nochmal: Im Gegensatz zu anderen DNSBLs ist die Liste "live", darüber erzielen viele (trotz der Erfahrungen des einen Users hier im Blog) bessere Ergebnisse als durch zeitverzögert. Sollten einmal mehr "Feed"-Quellen hinzukommen, macht sich der Live-Faktor noch besser bemerkbar.
Zur (mathematischen) Theorie. Man hätte auf allen Mail-Servern eine Möglichkeit, die IP von Spam-Mails (abgesehen davon, wie die Erst-Einstufung nun geschieht) zu ermitteln und würde diese binnen Sekunden in eine Blacklist eintragen. Somit hätte jeder IP genau die Zeit bis zum DNS-Eintrag, um E-Mails zu verschicken. Das sind vielleicht nur einige ganz wenige. Die Anzahl an möglichen "Opfern" (also die noch Spam erhalten, weil sie nun mal die ersten sind) sind damit auf n * m, wobei n die Anzahl an E-Mails bis zum Blacklisting sind, m ist die Anzahl der Server / IPs, über die der Spammer verfügt.
Nochmal: Im Gegensatz zu anderen DNSBLs ist die Liste "live", darüber erzielen viele (trotz der Erfahrungen des einen Users hier im Blog) bessere Ergebnisse als durch zeitverzögert. Sollten einmal mehr "Feed"-Quellen hinzukommen, macht sich der Live-Faktor noch besser bemerkbar.
Zur (mathematischen) Theorie. Man hätte auf allen Mail-Servern eine Möglichkeit, die IP von Spam-Mails (abgesehen davon, wie die Erst-Einstufung nun geschieht) zu ermitteln und würde diese binnen Sekunden in eine Blacklist eintragen. Somit hätte jeder IP genau die Zeit bis zum DNS-Eintrag, um E-Mails zu verschicken. Das sind vielleicht nur einige ganz wenige. Die Anzahl an möglichen "Opfern" (also die noch Spam erhalten, weil sie nun mal die ersten sind) sind damit auf n * m, wobei n die Anzahl an E-Mails bis zum Blacklisting sind, m ist die Anzahl der Server / IPs, über die der Spammer verfügt.
na dann freuen wir uns schon auf ipv6, wenn sich jeder spammer ein /64 holt...
mist, mein kommentar von gestern ist wohl nicht angekommen
also:
ich denke, dass es am sinnvollsten waere, den service mehr zu dezentralisieren. statt eines einzelnen servers sind mehrere server, die sich gegenseitig updatewn sinnvoll, und diese server sind auch nicht fuer die allgemeinheit, sondern dienen nur als quelle fuer eine ganze armada von servern, die dann letztendlich die abfragen bekommen, und nur diese oeffentlichen server duerfen auf die eigentlichen server zugreifen.
so weit die kurzfassung von gestern.
also:
ich denke, dass es am sinnvollsten waere, den service mehr zu dezentralisieren. statt eines einzelnen servers sind mehrere server, die sich gegenseitig updatewn sinnvoll, und diese server sind auch nicht fuer die allgemeinheit, sondern dienen nur als quelle fuer eine ganze armada von servern, die dann letztendlich die abfragen bekommen, und nur diese oeffentlichen server duerfen auf die eigentlichen server zugreifen.
so weit die kurzfassung von gestern.
Dafür isser jetzt gleich 2x da.
@ Sascha (Comment #1) Geistig behindert würde in dem Fall aber schon passen. Denn wer vorm Computer sitzt und alles nur erdenkliche unternimmt um andere zu nerven oder sogar zu schaden, der kann geistig nicht mehr ganz auf der Höhe sein. Und das sage ich als Behinderter..
Ps: Mir fehlt der linke Arm, wie man auch in meinem Blog lesen kann.
@ Sascha (Comment #1) Geistig behindert würde in dem Fall aber schon passen. Denn wer vorm Computer sitzt und alles nur erdenkliche unternimmt um andere zu nerven oder sogar zu schaden, der kann geistig nicht mehr ganz auf der Höhe sein. Und das sage ich als Behinderter..
Ps: Mir fehlt der linke Arm, wie man auch in meinem Blog lesen kann.
@ Manuel
Hiermit sei mir, als ständiger Leser deines Blogs, ein Kommentar erlaubt.
Ich finde es etwas unschön, dass du Spammer als "geistig behindert" betitelst (auch wenn es durchgestrichen ist).
Ich bin zwar nicht in diesem Maß persönlich betroffen (und nein: ich bin nicht beleidigt), finde solche Scherze aber nicht gerade lustig.
Wenn du magst, können wir uns gerne mal darüber per E-Mail unterhalten.
Ich glaube nicht, dass du dich als GF auf so eine Stufe begeben solltest.
Philipp
Hiermit sei mir, als ständiger Leser deines Blogs, ein Kommentar erlaubt.
Ich finde es etwas unschön, dass du Spammer als "geistig behindert" betitelst (auch wenn es durchgestrichen ist).
Ich bin zwar nicht in diesem Maß persönlich betroffen (und nein: ich bin nicht beleidigt), finde solche Scherze aber nicht gerade lustig.
Wenn du magst, können wir uns gerne mal darüber per E-Mail unterhalten.
Ich glaube nicht, dass du dich als GF auf so eine Stufe begeben solltest.
Philipp
Ich weiß. Werde dazu noch etwas bloggen. Danke auch für Deine E-Mail
IPv4 vs. IPv6
Du bist hier via
Suche
Zensur-freies Internet
Ökostrom
Vorratsdatenspeicherung
Kalender
|
September '10 |
|
||||
| Mo | Di | Mi | Do | Fr | Sa | So |
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 | |||
Kommentare
Do, 02.09.2010 21:06
Ich könnte mir gut vorstellen,
dass das kein Bluff war.
A
ls Anbieter wo man sich relati
v frei und einfach anmel [...]
Do, 02.09.2010 20:57
kommt auf den Programmieraufwa
nd an.
Ist es auch möglich
nur jede dritte Stelle durch e
in X zu tauschen?
zu Archiv-Flut
Do, 02.09.2010 18:33
Gegen Feuer und (etwas eingesc
hränkter) Wasser helfen Brands
chutzschränke zur Lagerung - v
or allem - der Buchhaltu [...]
Do, 02.09.2010 18:19
Die Leistung wurde bis auf die
Domain durchaus erbracht, Web
space etc. wurde ja angelegt.
Das mit der Anzeige war [...]
Do, 02.09.2010 17:14
Also ich kann es verstehen, be
i uns haben auch diverse Leute
zugriff auf ein Kundenmenü, a
llerdings geht es keinem [...]
Do, 02.09.2010 16:33
Ja irre beim Hosting-Panel ein
fach den Zugang löschen der no
ch nicht einmal genutzt worden
sein kann weil Domain j [...]
Do, 02.09.2010 15:33
Wer auf einem PC in einem Inte
rnetcafé Zugangsdaten zu so se
nsiblen Bereichen eingibt, dem
geschieht das ganz recht.
Do, 02.09.2010 14:23
Zumindest die Bearbeitung des
Widerspruchs hat durchaus Kost
en verursacht, die über die 6
Euro hinaus gehen dürften.
Do, 02.09.2010 14:07
Wenn man z.B. im Internetcafé
die Seite auf hat und einer üb
er die Schulter schaut, dann h
at der die Nummer. Klar, [...]
Do, 02.09.2010 12:40
Vielleicht wars ja wirklich wi
e geschildert. Aber wenn ich j
emanden beauftrage sich über P
reise zu informieren und [...]
