Skip to content
< Vorheriger Eintrag | Nächster Eintrag >

Mittwoch, 13. Juni 2007, 17:27

Angriff auf die ix.dnsbl.manitu.net

Wie schon bei Heise veröffentlicht, wissen sich die geistig behinderten, einfach nur dummen Spammer nun nicht mehr zu helfen. Sie greifen die Blacklists an, auf denen sie stehen.

So nun auch die ix.dnsbl.manitu.net, via dDoS. Derzeit überlegen Bert Ungerer, "Vater" von NixSpam, und ich, ob wir das Abfragen der Blacklist auf Whitelist-Basis machen. Dann können die Spammer so viel dDoS'en, wie sie möchten.

Daher ein Aufruf an alle :-O Wer die Liste abfragen möchte, schicke mir bitte eine E-Mail mit der oder den IP-Adressen, von der aus er abfragt, ggf. eine Range. Bitte dabei beachten, dass die Abfrage evtl. nicht der Mailserver, sondern der hauseigene DNS-Server erledigt!

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Sascha

Ich hoffe mal, dass Du nicht allen Ernstes geistig Behinderte mit mutwillig destruktiven Schwachmaten gleichsetzt. Wenn wir uns noch mal ins Gedächtnis rufen, was eine geistige Behinderung ist und wie diese zustande kommt, dann wissen wir, dass dies nichts mit diesen Idioten zu tun hat…

Manuel Schmitt (manitu)

sorry, natürlich nicht

Der Adminblogger

Emailadresse? manuel@?

Kurt

wenn die das mehrere Tage machen und dann gleichzeitig noch viele Mails rausjagen könnte die nächste Woche stressig werden.

Ich habe jetzt die 3 DNS-BLs rausgenommen aber wenn die Spammer merken das es funktioniert dann dürften bald alle Listen (zumindest kurzzeitig) verschwinden.

Mich wunderts, dass bei Heise die Manitu-Liste noch nicht als Nachricht rausgebracht haben.

Claus

Und wir wundern uns warum gerade keine Mails mehr zu uns durch kommen :-/

Andre Heinrichs

Meine persönliche Empfehlung gegen Werbemails ist eine Kombination aus DSpam und Spamassassin. Zumindest bei meiner Mailnutzung habe ich recht schnell eine sehr gute Trefferquote erreicht, und zwar sowohl bei Spam-, als auch Ham-Mails.

Da braucht man dann auch keine Blacklists, die für irgendwelche Trottel angreifbar sind.

Martin

Tollen Service habt ihr, aber leider war der DNS-Server bisschen langsam, dadurch gab es dann einfach zu viele SMTPD-Prozesse (>250, anstatt ~50).
Jetzt hol ich mir einfach die Liste der blackmatches (http://www.heise.de/ix/nixspam/nixspam.blackmatches) und füttere damit einen lokalen rbldns für unsere MXe.

Manuel Schmitt (manitu)

Wie bereits berichtet: Wir stellen ja auf BIND um. Bitte noch ein bisschen abwarten :-)

nighthawk

wer es nicht schafft die anzahl der prozesse so zu konfigurieren, daß das system nicht beim ersten problem alle viere von sich streckt sollte darueber nachdenken den beruf zu wechseln..

Manuel Schmitt (manitu)

Kritik ist immer einfacher, wenn man nicht mehr darüber weiß als "Es gibt Prozesslimits" :-)

nighthawk

nun sagen wir es so.. die von mir betreuten systeme hatten kein problem damit, das mit einem mal drei der fuenf rbls nicht verfuegbar waren. spamhaus und so waren gestern naemlich ebenfalls eine weile nicht erreichbar..

Craig

Wie DDoS'en die denn? Einfach superviele DNS-Abfragen? Die technische Seite finde ich sehr interessant...

Manuel Schmitt (manitu)

Ich werde dazu in Kürze mehr berichten, bis dahin bin ich zusammen mit den anderen Jungs am "Problem" an sich dran.

::stefan

Hm. Wenigstens kann man die ddos-IPs gleich in die Liste mit aufnehmen :) Die eigene Abfrage wird wohl meistens über den hauseigenen DNS erfolgen. Und wenn man dann ganz viele DNS-Server von diversen Hostern auf die Whiteliste setzt bzw. sogar die Ranges, dann sind die Bösen auch auf der Whitelist. Kommt aber natürlich drauf an, aus welchem Raum der Angriff kam.

Lim_Dul

QUOTE:
Und wenn man dann ganz viele DNS-Server von diversen Hostern auf die Whiteliste setzt bzw. sogar die Ranges, dann sind die Bösen auch auf der Whitelist. Kommt aber natürlich drauf an, aus welchem Raum der Angriff kam.

Setzt man nur die DNS Server auf die Liste, so kommen die bösen damit nicht drauf. Den in den seltensten Fällen werden sie die DNS Server unter ihre Kontrolle bekommen.

Auch wenns Aufwand wäre, wie wäre es denn mit zwei Listen mit gleichem Inhalt? Eine, auf die jeder zugreifen kann und eine per Whitelist. Somit hätte jeder, der etwas Aufwand betreibt, eine relativ ausfallsichere Liste und alle anderen in den meisten Fällen auch eine Liste. Setzt natürlich zwei Rechner voraus (oder mindestens zwei IPs)

Manuel Schmitt (manitu)

Der "ungeschützte" Server wäre beim derzeitigen Anfragevolumen nicht mehr in der Lage. Nur zum Verständnis: Hohe fünfstellige Abfrager pro Sekunde. Und wenn der Angreifende will, kann er das noch erhöhen.

Robert Felber

QUOTE:
Wie bereits berichtet: Wir stellen ja auf BIND um.

QUOTE:
Hohe fünfstellige Abfrager pro Sekunde.


Ob das ein BIND leisten kann, wage ich zu bezweifeln, vierstellige, um die 50000, ok. Dazu brauch es aber schon sehr sehr gute Hardware und einen sehr sehr guten Kernel. Bei 5stelligen brauch es schon Balancing, wobei auch da ein sehr guter Balancer von Noeten ist (quasi unmoeglich, da Sockets vom Kernel singlethreaded behandelt werden). Ein RoundRobin fuer NS mit kurzer TTL waere evtl noch eine Loesung.

Aber, wenn ihr sagt, dass das mit port 53 default deny, 1.2.3.4 accept handlebar ist, gaenge es evtl auch ueber iptables/LoadBalancing (http://linuxgazette.net/108/odonovan.html)

Robert Felber

Err! Mathe, 3. Klasse. 5-stellig ist ja nnnnn und nich n00000. Gut, bei nnnnn Anfragen koennte man mit BIND noch was reissen, aber, ich wuerde dennoch das LoadBalancing ueber Iptables in's Auge fassen.

::stefan

QUOTE:

Setzt man nur die DNS Server auf die Liste, so kommen die bösen damit nicht drauf. Den in den seltensten Fällen werden sie die DNS Server unter ihre Kontrolle bekommen.

Ich hab doch geschrieben, wenn man die Ranges nimmt. Das wird ja dann auch der Fall sein. Oder soll man sich bei jedem, der einen grösseren Adressraum hat die DNS-Server selber raussuchen? Und dann einmal im Monat alle überprüfen, ob sich welche geändert haben?

mc


Wer die Liste abfragen möchte, schicke mir bitte eine E-Mail mit der oder den IP-Adressen, von der aus
er abfragt, ggf. eine Range.


Gegen solche Attacken hilft nicht viel, genau gesagt nur eins: Mehr Bandbreite zur Verfuegung haben.

Alles was du sonst versuchst, ist nur ein temporaerer Workaround. Machst du deine Nameserver nur fuer bestimmte Ranges dicht, wird halt was anderes beschossen. Das Wort Kollateralschaden wurde von den Spammern schliesslich erfunden.

Etwas anderes, was dich temporaer erleichtern wuerde, waere ein Anycast Setup; oder den Traffic bereits an Bordern deines Autonomen Systems wegfiltern - oder noch besser vom Peer blackholen lassen. (Stichwort: BGP Blackhole Communities)

Wenn du noch ein DoS Ziel zum Ueben brauchst, ich kenne da noch einen Service, der gerne beschossen wird und immer auf der Suche nach willigem NOC ist. ;-)

Manuel Schmitt (manitu)

Welche Form von Kollateralschaden soll man denn gegen die Blacklist produzieren? Sie besteht ja quasi nur aus dem reinen DNS-Dienst!

Die Bandbreite ist sicher auch nicht das Problem :-)

mc

Der Betreiber eines Dienstes kann aber einen Kollateralschaden erleiden - und das nicht zu knapp.


um mal eine ganz einfache Analogie zu ziehen: wenn der spammer deinen DNS Dienst nicht ausknocken kann, weil du diesen filterst, dann attackiert er deinen Webserver - damit entsteht dir schaden, denn du kannst nichts mehr verkaufen-

tobi

welchen service meinst du denn? ;-)

mc

Tobi! du auch hier! ;-)

Na - welchen wohl.


IRC - war doch klar. ;-)

tobi

na aber hallo. hostblogger gehört zum täglichen newsfeed dazu ;-)

geil wie klein die welt doch ist.

yetzt

mist, mein kommentar von gestern ist wohl nicht angekommen :(

also:

ich denke, dass es am sinnvollsten waere, den service mehr zu dezentralisieren. statt eines einzelnen servers sind mehrere server, die sich gegenseitig updatewn sinnvoll, und diese server sind auch nicht fuer die allgemeinheit, sondern dienen nur als quelle fuer eine ganze armada von servern, die dann letztendlich die abfragen bekommen, und nur diese oeffentlichen server duerfen auf die eigentlichen server zugreifen.

so weit die kurzfassung von gestern.

Manuel Schmitt (manitu)

Genau daran arbeiten wir ja derzeit.

Nochmal: Im Gegensatz zu anderen DNSBLs ist die Liste "live", darüber erzielen viele (trotz der Erfahrungen des einen Users hier im Blog) bessere Ergebnisse als durch zeitverzögert. Sollten einmal mehr "Feed"-Quellen hinzukommen, macht sich der Live-Faktor noch besser bemerkbar.

Zur (mathematischen) Theorie. Man hätte auf allen Mail-Servern eine Möglichkeit, die IP von Spam-Mails (abgesehen davon, wie die Erst-Einstufung nun geschieht) zu ermitteln und würde diese binnen Sekunden in eine Blacklist eintragen. Somit hätte jeder IP genau die Zeit bis zum DNS-Eintrag, um E-Mails zu verschicken. Das sind vielleicht nur einige ganz wenige. Die Anzahl an möglichen "Opfern" (also die noch Spam erhalten, weil sie nun mal die ersten sind) sind damit auf n * m, wobei n die Anzahl an E-Mails bis zum Blacklisting sind, m ist die Anzahl der Server / IPs, über die der Spammer verfügt.

yetzt

na dann freuen wir uns schon auf ipv6, wenn sich jeder spammer ein /64 holt... ;-)

yetzt

mist, mein kommentar von gestern ist wohl nicht angekommen :(

also:

ich denke, dass es am sinnvollsten waere, den service mehr zu dezentralisieren. statt eines einzelnen servers sind mehrere server, die sich gegenseitig updatewn sinnvoll, und diese server sind auch nicht fuer die allgemeinheit, sondern dienen nur als quelle fuer eine ganze armada von servern, die dann letztendlich die abfragen bekommen, und nur diese oeffentlichen server duerfen auf die eigentlichen server zugreifen.

so weit die kurzfassung von gestern.

Hollii

Dafür isser jetzt gleich 2x da. ;)

@ Sascha (Comment #1) Geistig behindert würde in dem Fall aber schon passen. Denn wer vorm Computer sitzt und alles nur erdenkliche unternimmt um andere zu nerven oder sogar zu schaden, der kann geistig nicht mehr ganz auf der Höhe sein. Und das sage ich als Behinderter.. ;)

Ps: Mir fehlt der linke Arm, wie man auch in meinem Blog lesen kann.

Philipp

@ Manuel

Hiermit sei mir, als ständiger Leser deines Blogs, ein Kommentar erlaubt.

Ich finde es etwas unschön, dass du Spammer als "geistig behindert" betitelst (auch wenn es durchgestrichen ist).

Ich bin zwar nicht in diesem Maß persönlich betroffen (und nein: ich bin nicht beleidigt), finde solche Scherze aber nicht gerade lustig.

Wenn du magst, können wir uns gerne mal darüber per E-Mail unterhalten.

Ich glaube nicht, dass du dich als GF auf so eine Stufe begeben solltest.

Philipp

Arno

Meine Güte!

Manuel Schmitt (manitu)

Ich weiß. Werde dazu noch etwas bloggen. Danke auch für Deine E-Mail :-)

MatChoors

Priligy Sin Receta Medica Cialis 5 Effetti Collaterali buy generic cialis Buy Cheap Doxycycline Amoxicillin Caldeate Potassium Side Effects Prix Kamagra Thailande

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

BBCode-Formatierung erlaubt
Formular-Optionen