Защита exim от DDoS

EXIM, sendmail, postfix, Dovecot и прочие. Решение проблем связанных с работой электронной почты

Модератор: xM

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
tesla
рядовой
Сообщения: 28
Зарегистрирован: 2009-08-19 14:31:27

Защита exim от DDoS

Непрочитанное сообщение tesla » 2009-09-03 13:30:08

Какие кто использует меры для защиты от DDoS exim?
Сыпятся сообщения с разных Ip и доменов.
Отлов конечно производится...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Alex_hha
лейтенант
Сообщения: 755
Зарегистрирован: 2005-11-06 18:25:26
Контактная информация:

Re: Защита exim от DDoS

Непрочитанное сообщение Alex_hha » 2009-09-03 14:32:40

Защита от DDOS должна производиться на пограничном фаере, имхо

tesla
рядовой
Сообщения: 28
Зарегистрирован: 2009-08-19 14:31:27

Re: Защита exim от DDoS

Непрочитанное сообщение tesla » 2009-09-03 15:24:40

нету пограничного фаервола это вызовет нехилую нагрузку
а на что-то дорогое пока нет денег
трафик блокируется по критериям на соответствующих серверах.
опять же не все атаки можно усмирить своими силами
иногда приходится делать блокировки на уровне вышестоящего провайдера

Но вопрос остался по каким критериям блокировать трафик?
IP разные валят.

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Защита exim от DDoS

Непрочитанное сообщение princeps » 2009-09-03 16:35:09

tesla писал(а):нету пограничного фаервола это вызовет нехилую нагрузку
фаер вызовет нагрузку?
tesla писал(а):Сыпятся сообщения с разных Ip и доменов.
ну, обычный спам. Он тебе канал нагружает или компьютер?
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

tesla
рядовой
Сообщения: 28
Зарегистрирован: 2009-08-19 14:31:27

Re: Защита exim от DDoS

Непрочитанное сообщение tesla » 2009-09-03 16:47:37

Если траф в 200 мбит фильтровать програмным фаером думаю да - поправьте если ошибаюсь.
Это не обычный спам... Есть зашкаливание по кол-ву соединений на 25 порт.
Часть клиентов с траблами получает почту. Резко возросло кол-во процессов exim до 300.
До этого не наблюдалось. Думается это просто вагон соединений на 25 порт где они потом умирают.
Релей с других сетей не разрешен через exim.

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Защита exim от DDoS

Непрочитанное сообщение princeps » 2009-09-03 17:20:28

tesla писал(а):Если траф в 200 мбит фильтровать програмным фаером думаю да - поправьте если ошибаюсь.
hizel знает, я думаю, что нет.
tesla писал(а): Это не обычный спам... Есть зашкаливание по кол-ву соединений на 25 порт.
Часть клиентов с траблами получает почту. Резко возросло кол-во процессов exim до 300.
До этого не наблюдалось. Думается это просто вагон соединений на 25 порт где они потом умирают.
я полагаю, небольшой тюнинг спасёт. посмотри статистику, что там за соединения идут.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

tesla
рядовой
Сообщения: 28
Зарегистрирован: 2009-08-19 14:31:27

Re: Защита exim от DDoS

Непрочитанное сообщение tesla » 2009-09-04 10:15:07

ACL списки вроде как помогли.

Alex_hha
лейтенант
Сообщения: 755
Зарегистрирован: 2005-11-06 18:25:26
Контактная информация:

Re: Защита exim от DDoS

Непрочитанное сообщение Alex_hha » 2009-09-04 15:51:31

Если траф в 200 мбит фильтровать програмным фаером думаю да - поправьте если ошибаюсь.
ну ты ж туда не pentium 100 поставишь ;)
а на что-то дорогое пока нет денег
Что в твоем понятии дорого? Судя по каналу деньги должны быть

По ходу ты путаешь понятия DDOS и спам. Так как средствами acl exim от DDOS не защищаются ;)
Но вопрос остался по каким критериям блокировать трафик?
криетрии ты сам должен определять и в зависимости от них искать программно/аппаратное решение

Anton.M
рядовой
Сообщения: 37
Зарегистрирован: 2009-08-15 19:51:59
Откуда: Ukraine, Simferopol
Контактная информация:

Re: Защита exim от DDoS

Непрочитанное сообщение Anton.M » 2009-09-05 11:52:37

Можно еще список хостов составить, для которых запрещено установление SMTP-соединений:
см. host_reject_connection,
простенький скрипт netstat + awk + cron позволяло отстреливать хосты с большим кол-вом одновременных коннектов.
но это при DDOS и время от времени приходилось дропать список...

Аватара пользователя
buryanov
ст. сержант
Сообщения: 311
Зарегистрирован: 2008-04-29 13:41:48
Откуда: Харьков
Контактная информация:

Re: Защита exim от DDoS

Непрочитанное сообщение buryanov » 2009-09-05 16:06:59

Вопрос: сколько у вас ящиков?
У меня в мускул пишется лог соединений и отлупов. Раз в 15 минут парсю, если превысил критерии - в фаер.
Дмитрий.
buryanov*ukr.net
icq# 118639660; skype: buryanov

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Защита exim от DDoS

Непрочитанное сообщение princeps » 2009-09-05 20:17:35

ключевое слово тут - фаер. А автор не хочет использовать фаер.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Alex_hha
лейтенант
Сообщения: 755
Зарегистрирован: 2005-11-06 18:25:26
Контактная информация:

Re: Защита exim от DDoS

Непрочитанное сообщение Alex_hha » 2009-09-06 14:23:19

ключевое слово тут - фаер. А автор не хочет использовать фаер.
ключевое тут слово - "автор не хочет" :-D. Зато хочет одеть штаны через голову. Если уж запросы пришли на сервер, то уже поздно пить боржоми. Так что выводы делайте сами

tesla
рядовой
Сообщения: 28
Зарегистрирован: 2009-08-19 14:31:27

Re: Защита exim от DDoS

Непрочитанное сообщение tesla » 2009-09-06 16:09:25

Хочет хочет :smile:
Понятное дело iptables работает. Цепочка есть в которой блочатся "плохие адреса".
Вопрос в том что кол-во ip с которых шли соединения было нехилое.
Еще раз про спам и DDoS. По наблюдениям характер трафика спама несколько отличается от атаки DDoS.
Спам более менее отлавливался всякими bl.spamcop.net и т.п.
Просто в единицу времни спам не нагружал так почтовик мы и обозвали это дело DDoS.
Далее куча соединений которые инициировались данные не передавали как почтовый спам.
Соединения скриптом на основе netstat не режутся - адреса меняются все время.
ACL настроены так чтобы во всех позах проверять HELO
До кучи стоит задержка соединений ну и кое-какой другой тюнинг.
На счет боржоми это вы зря :smile: Здоровье тут нужно железное.
Но хочу мысль донести еще разок - случай атаки уже был - 500 мбит трафика закрывали через Москву...

Аватара пользователя
buryanov
ст. сержант
Сообщения: 311
Зарегистрирован: 2008-04-29 13:41:48
Откуда: Харьков
Контактная информация:

Re: Защита exim от DDoS

Непрочитанное сообщение buryanov » 2009-09-06 18:48:55

есть топик и в нём пост Полезные скрипты/настройки для exim. Это пример, как можно писать нужную статистику в базу. Ставите в каждом месте отлупа и при записи присваиваете атрибут, кто забраковал. Насчёт, умеет ли iptables работать с таблицами - низнаю и знать не хочу, а во фре, после анализа таблици мускула, - данные легко можно заносить в нужную таблицу фаера. Если у вас есть договор с провом, вы можете ему высылать данные, для блокировке уже на его оборудовании.
Дмитрий.
buryanov*ukr.net
icq# 118639660; skype: buryanov

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35411
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Защита exim от DDoS

Непрочитанное сообщение Alex Keda » 2009-09-06 23:17:28

Код: Выделить всё

srv# ipfw table 2 list | wc -l
  699246
srv#   
srv# uptime
 0:16  up 91 days, 22:10, 2 users, load averages: 0,56 1,01 1,45
srv#   
афтар, не надевайте штаный через голову =)
Это список залоченных хостов спамеров - тока тех которые пробовали перебирать логины-пароли...
обычный сервер хостинга
Убей их всех! Бог потом рассортирует...

tesla
рядовой
Сообщения: 28
Зарегистрирован: 2009-08-19 14:31:27

Re: Защита exim от DDoS

Непрочитанное сообщение tesla » 2009-09-07 8:13:56

Какие штаны? :smile:
Ребята вы о чем? Прямо и конкретно.
Я вроде написал с примерами, что от чего сделано.
Более того это все помогло...

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Защита exim от DDoS

Непрочитанное сообщение princeps » 2009-09-07 8:31:01

tesla писал(а):Какие штаны? Ребята вы о чем? Прямо и конкретно.
Пацаны пытаются донести, что фаерволом отбивать такие атаки будет правильнее и быстрее. У тебя в этот раз получилось, но в следующий - когда атакующий арендует ботнет побольше, экзимом ты много не навоюешь.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: Защита exim от DDoS

Непрочитанное сообщение ProFTP » 2009-09-07 8:38:51

где-то было написано что сам postfix не допускает ддос к себе, как только ддос идет он на него забивает...
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

tesla
рядовой
Сообщения: 28
Зарегистрирован: 2009-08-19 14:31:27

Re: Защита exim от DDoS

Непрочитанное сообщение tesla » 2009-09-07 9:16:05

Ребята все верно я выше писал что к чему.
Фаером не удавалось гасить потому что менялись ip адреса и с 1 ip адреса не было кучи соединений.
Соединения были липовыми без передачи информации.
Скажем так Ping c миллиона адресов как закрывать?

Пытались усмирить вот так:

Код: Выделить всё

#!/bin/bash
while /bin/true
do
exiwhat \
|tee ~/exiwhat.out && \
for ip in $( \
cat ~/exiwhat.out\
| tee ~/exiwhat.out\
| perl -e '
use strict;
while(<>)
{
#my @tempstr=split /\s+/, $_;

if(m{ \[([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)\]})
{
    my $ip = $1;
    unless ($ip=~ /^85\.234/ or $ip=~/^212\.17/)
    {
        print "$ip\n";
    }
}
}' | sort | uniq
)
do
`iptables -t filter -I INPUT 1 -s $ip -d 0/0 -j DROP`
`iptables -t filter -I OUTPUT 1 -s 0/0 -d $ip -j DROP`
echo "multiple identities- $ip"
done
date
sleep 15
done
Соответственно в Iptables цепочка - не помогло.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35411
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Защита exim от DDoS

Непрочитанное сообщение Alex Keda » 2009-09-07 11:09:36

пинг с миллиона адресов экзимом точно не закроешь =)
Убей их всех! Бог потом рассортирует...

Аватара пользователя
buryanov
ст. сержант
Сообщения: 311
Зарегистрирован: 2008-04-29 13:41:48
Откуда: Харьков
Контактная информация:

Re: Защита exim от DDoS

Непрочитанное сообщение buryanov » 2009-09-07 11:19:44

Вы этим скриптом рубите все соединения кроме 2-х ситей

Код: Выделить всё

unless ($ip=~ /^85\.234/ or $ip=~/^212\.17/)
можно просто было написать в фаер правило, которое разрешает эти 2 сети, а всё остальное блокирует.
Дмитрий.
buryanov*ukr.net
icq# 118639660; skype: buryanov

tesla
рядовой
Сообщения: 28
Зарегистрирован: 2009-08-19 14:31:27

Re: Защита exim от DDoS

Непрочитанное сообщение tesla » 2009-09-07 12:45:35

lissyara писал(а):пинг с миллиона адресов экзимом точно не закроешь =)
Это да! :smile: Это шутка!
Вопрос не в этом правда?
Как закрыть в фаере миллион запросов с разных ip не важно на какой порт прущий.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35411
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Защита exim от DDoS

Непрочитанное сообщение Alex Keda » 2009-09-07 13:14:14

по одному.
больше никак.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: Защита exim от DDoS

Непрочитанное сообщение ProFTP » 2009-09-07 13:25:28

элементарно:
1) ну возьми список черный спамерский... добавить в ipfw таблицу или pf
2) те кто подключаются к 25 порту все время, если например 5 раз не правильно ввели авторизированные данные, то бань по ipfw сразу айпи
точно также к 80 порту и т.д.

Код: Выделить всё

Соединения были липовыми без передачи информации. 
с чего ты взял что "без передачи информации" ? те кто без передачи информации, тожа добавляй в ipfw
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

tesla
рядовой
Сообщения: 28
Зарегистрирован: 2009-08-19 14:31:27

Re: Защита exim от DDoS

Непрочитанное сообщение tesla » 2009-09-07 13:40:21

А фаер определит что соединение левое?
Нужно как-то проанализировать соединение на предмет левизны :smile: и сделать вывод это полезная нагрузка или неполезная.
Тут уже IDS похоже нужно.