Защита exim от DDoS

[tesla]

Какие кто использует меры для защиты от DDoS exim?
Сыпятся сообщения с разных Ip и доменов.
Отлов конечно производится...

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex_hha]

Защита от DDOS должна производиться на пограничном фаере, имхо

[tesla]

нету пограничного фаервола это вызовет нехилую нагрузку
а на что-то дорогое пока нет денег
трафик блокируется по критериям на соответствующих серверах.
опять же не все атаки можно усмирить своими силами
иногда приходится делать блокировки на уровне вышестоящего провайдера

Но вопрос остался по каким критериям блокировать трафик?
IP разные валят.

[princeps]

нету пограничного фаервола это вызовет нехилую нагрузку

фаер вызовет нагрузку?

Сыпятся сообщения с разных Ip и доменов.

ну, обычный спам. Он тебе канал нагружает или компьютер?

[tesla]

Если траф в 200 мбит фильтровать програмным фаером думаю да - поправьте если ошибаюсь.
Это не обычный спам... Есть зашкаливание по кол-ву соединений на 25 порт.
Часть клиентов с траблами получает почту. Резко возросло кол-во процессов exim до 300.
До этого не наблюдалось. Думается это просто вагон соединений на 25 порт где они потом умирают.
Релей с других сетей не разрешен через exim.

[princeps]

Если траф в 200 мбит фильтровать програмным фаером думаю да - поправьте если ошибаюсь.

hizel знает, я думаю, что нет.

Это не обычный спам... Есть зашкаливание по кол-ву соединений на 25 порт.
Часть клиентов с траблами получает почту. Резко возросло кол-во процессов exim до 300.
До этого не наблюдалось. Думается это просто вагон соединений на 25 порт где они потом умирают.

я полагаю, небольшой тюнинг спасёт. посмотри статистику, что там за соединения идут.

[tesla]

ACL списки вроде как помогли.

[Alex_hha]

Если траф в 200 мбит фильтровать програмным фаером думаю да - поправьте если ошибаюсь.

ну ты ж туда не pentium 100 поставишь

а на что-то дорогое пока нет денег

Что в твоем понятии дорого? Судя по каналу деньги должны быть

По ходу ты путаешь понятия DDOS и спам. Так как средствами acl exim от DDOS не защищаются

Но вопрос остался по каким критериям блокировать трафик?

криетрии ты сам должен определять и в зависимости от них искать программно/аппаратное решение

[Anton.M]

Можно еще список хостов составить, для которых запрещено установление SMTP-соединений:
см. host_reject_connection,
простенький скрипт netstat + awk + cron позволяло отстреливать хосты с большим кол-вом одновременных коннектов.
но это при DDOS и время от времени приходилось дропать список...

[buryanov]

Вопрос: сколько у вас ящиков?
У меня в мускул пишется лог соединений и отлупов. Раз в 15 минут парсю, если превысил критерии - в фаер.

[princeps]

ключевое слово тут - фаер. А автор не хочет использовать фаер.

[Alex_hha]

ключевое слово тут - фаер. А автор не хочет использовать фаер.

ключевое тут слово - "автор не хочет" . Зато хочет одеть штаны через голову. Если уж запросы пришли на сервер, то уже поздно пить боржоми. Так что выводы делайте сами

[tesla]

Хочет хочет
Понятное дело iptables работает. Цепочка есть в которой блочатся "плохие адреса".
Вопрос в том что кол-во ip с которых шли соединения было нехилое.
Еще раз про спам и DDoS. По наблюдениям характер трафика спама несколько отличается от атаки DDoS.
Спам более менее отлавливался всякими bl.spamcop.net и т.п.
Просто в единицу времни спам не нагружал так почтовик мы и обозвали это дело DDoS.
Далее куча соединений которые инициировались данные не передавали как почтовый спам.
Соединения скриптом на основе netstat не режутся - адреса меняются все время.
ACL настроены так чтобы во всех позах проверять HELO
До кучи стоит задержка соединений ну и кое-какой другой тюнинг.
На счет боржоми это вы зря Здоровье тут нужно железное.
Но хочу мысль донести еще разок - случай атаки уже был - 500 мбит трафика закрывали через Москву...

[buryanov]

есть топик и в нём пост Полезные скрипты/настройки для exim. Это пример, как можно писать нужную статистику в базу. Ставите в каждом месте отлупа и при записи присваиваете атрибут, кто забраковал. Насчёт, умеет ли iptables работать с таблицами - низнаю и знать не хочу, а во фре, после анализа таблици мускула, - данные легко можно заносить в нужную таблицу фаера. Если у вас есть договор с провом, вы можете ему высылать данные, для блокировке уже на его оборудовании.

[Alex Keda]

Код: Выделить всё

srv# ipfw table 2 list | wc -l
  699246
srv#   
srv# uptime
 0:16  up 91 days, 22:10, 2 users, load averages: 0,56 1,01 1,45
srv#   

афтар, не надевайте штаный через голову
Это список залоченных хостов спамеров - тока тех которые пробовали перебирать логины-пароли...
обычный сервер хостинга

[tesla]

Какие штаны?
Ребята вы о чем? Прямо и конкретно.
Я вроде написал с примерами, что от чего сделано.
Более того это все помогло...

[princeps]

Какие штаны? Ребята вы о чем? Прямо и конкретно.

Пацаны пытаются донести, что фаерволом отбивать такие атаки будет правильнее и быстрее. У тебя в этот раз получилось, но в следующий - когда атакующий арендует ботнет побольше, экзимом ты много не навоюешь.

[ProFTP]

где-то было написано что сам postfix не допускает ддос к себе, как только ддос идет он на него забивает...

[tesla]

Ребята все верно я выше писал что к чему.
Фаером не удавалось гасить потому что менялись ip адреса и с 1 ip адреса не было кучи соединений.
Соединения были липовыми без передачи информации.
Скажем так Ping c миллиона адресов как закрывать?

Пытались усмирить вот так:

Код: Выделить всё

#!/bin/bash
while /bin/true
do
exiwhat \
|tee ~/exiwhat.out && \
for ip in $( \
cat ~/exiwhat.out\
| tee ~/exiwhat.out\
| perl -e '
use strict;
while(<>)
{
#my @tempstr=split /\s+/, $_;

if(m{ \[([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)\]})
{
    my $ip = $1;
    unless ($ip=~ /^85\.234/ or $ip=~/^212\.17/)
    {
        print "$ip\n";
    }
}
}' | sort | uniq
)
do
`iptables -t filter -I INPUT 1 -s $ip -d 0/0 -j DROP`
`iptables -t filter -I OUTPUT 1 -s 0/0 -d $ip -j DROP`
echo "multiple identities- $ip"
done
date
sleep 15
done

Соответственно в Iptables цепочка - не помогло.

[Alex Keda]

пинг с миллиона адресов экзимом точно не закроешь

[buryanov]

Вы этим скриптом рубите все соединения кроме 2-х ситей

Код: Выделить всё

unless ($ip=~ /^85\.234/ or $ip=~/^212\.17/)

можно просто было написать в фаер правило, которое разрешает эти 2 сети, а всё остальное блокирует.

[tesla]

пинг с миллиона адресов экзимом точно не закроешь

Это да! Это шутка!
Вопрос не в этом правда?
Как закрыть в фаере миллион запросов с разных ip не важно на какой порт прущий.

[Alex Keda]

по одному.
больше никак.

[ProFTP]

элементарно:
1) ну возьми список черный спамерский... добавить в ipfw таблицу или pf
2) те кто подключаются к 25 порту все время, если например 5 раз не правильно ввели авторизированные данные, то бань по ipfw сразу айпи
точно также к 80 порту и т.д.

Код: Выделить всё

Соединения были липовыми без передачи информации. 

с чего ты взял что "без передачи информации" ? те кто без передачи информации, тожа добавляй в ipfw

[tesla]

А фаер определит что соединение левое?
Нужно как-то проанализировать соединение на предмет левизны и сделать вывод это полезная нагрузка или неполезная.
Тут уже IDS похоже нужно.