Hozzászólások
Hallo,
Nemrég jelentősen megnőt a levelezőszerverként is működő szerverünk load-ja.
A probéma a levelezés részről adódik, egy eddig jól működő exim fut rajt, calmav-al es spamassassin-al. A gond az hogy véletlenszerű hostokról bazi nagy mennyiségű levélküldési kérelem érkezik a saját mail-domain-ünkbe. A logokban szépen látszanak a próbálkozások (valami advanced szkiprt gyűjtött egy csomó emailcímet, levágta a local részt, utánarakta a mi maildomainünket és levelet akar küldeni) az exim ugy szépen valaszolgat hogy ismeretleb RCPT. A gond annyival súlyosabb hogy telepítve van az smtp szekcióban is ellenörző sa az sa-exim.
Ez okozza a bazi nagy load-ot. íÍgy gyakorlatilag DoS olva vagyok.
Kérdés létezik-e olyan beállítás exim esetén akár ACL akár tcpwrappert használó, ami protokolhiba vagy rcpt hiba vagy barmilyen mas hiba esetén bannolja az adott ip-t mondjuk 5 percre??
Köszi a válaszokat.
Meng
- A hozzászóláshoz be kell jelentkezni
[quote:c164f03865="Meng"]Hallo,
Nemrég jelentősen megnőt a levelezőszerverként is működő szerverünk load-ja.
A probéma a levelezés részről adódik, egy eddig jól működő exim fut rajt, calmav-al es spamassassin-al. A gond az hogy véletlenszerű hostokról bazi nagy mennyiségű levélküldési kérelem érkezik a saját mail-domain-ünkbe. A logokban szépen látszanak a próbálkozások (valami advanced szkiprt gyűjtött egy csomó emailcímet, levágta a local részt, utánarakta a mi maildomainünket és levelet akar küldeni) az exim ugy szépen valaszolgat hogy ismeretleb RCPT. A gond annyival súlyosabb hogy telepítve van az smtp szekcióban is ellenörző sa az sa-exim.
Ez okozza a bazi nagy load-ot. íÍgy gyakorlatilag DoS olva vagyok.
Kérdés létezik-e olyan beállítás exim esetén akár ACL akár tcpwrappert használó, ami protokolhiba vagy rcpt hiba vagy barmilyen mas hiba esetén bannolja az adott ip-t mondjuk 5 percre??
Köszi a válaszokat.
Meng
Nemrég ilyenre aszondta egy ismerős hogy iptables és --state NEW és hitcount. Gugli ezt mondta: http://www.debian-administration.org/articles/187
- A hozzászóláshoz be kell jelentkezni
[quote:9d45258423="andrej_"][quote:9d45258423="Meng"]Hallo,
Nemrég jelentősen megnőt a levelezőszerverként is működő szerverünk load-ja.
A probéma a levelezés részről adódik, egy eddig jól működő exim fut rajt, calmav-al es spamassassin-al. A gond az hogy véletlenszerű hostokról bazi nagy mennyiségű levélküldési kérelem érkezik a saját mail-domain-ünkbe. A logokban szépen látszanak a próbálkozások (valami advanced szkiprt gyűjtött egy csomó emailcímet, levágta a local részt, utánarakta a mi maildomainünket és levelet akar küldeni) az exim ugy szépen valaszolgat hogy ismeretleb RCPT. A gond annyival súlyosabb hogy telepítve van az smtp szekcióban is ellenörző sa az sa-exim.
Ez okozza a bazi nagy load-ot. íÍgy gyakorlatilag DoS olva vagyok.
Kérdés létezik-e olyan beállítás exim esetén akár ACL akár tcpwrappert használó, ami protokolhiba vagy rcpt hiba vagy barmilyen mas hiba esetén bannolja az adott ip-t mondjuk 5 percre??
Köszi a válaszokat.
Meng
Nemrég ilyenre aszondta egy ismerős hogy iptables és --state NEW és hitcount. Gugli ezt mondta: http://www.debian-administration.org/articles/187
A gépezet FBSD hoston van ipfilter tűzfallall. iptables tehát nem ok. Bár nem rossz gondolat, viszont a script nem csinál új kapcsolatot, hanem az RCPT-ket nyomatja ugyanabban a sessionban, egymás után, vagy csiná e RSET et es kezdi a baromságait előről, tehát újrahasznosítja a kapcsolatot.
ACL ekben a host accept mező töltögetése dinamikusan, vagy tcpwrapper ami mégjobbnak tűnik.
Meng
- A hozzászóláshoz be kell jelentkezni