Am 04.02.2013 08:38, schrieb Florian Schaal:
Unsere Ansätze unterscheiden sich m.E. nicht wesentlich.
Ich hab das mal hier gepostet: http://blog.schaal-24.de/?p=1626
ah schoen, ich werde das evtl mal querverweisen
Ich blocke solche IP aber für max. 6 Stunden über die Firewall. Das reicht hier in den meisten Fällen.
ist bei mir nicht der Fall, ich hatte das schon vorher getestet, nicht mal 24 h waren genug, im Einzelfall, wobei bei mir die pure Masse das Hauptproblem darstellt, ich konnte eigentlich nur eine Besonderheit feststellen, die Bots werden regelmaessig noch massiver am Freitag relativ punktlich zum Ende der europaeischen Buerozeit, warum auch immer
Ich hab das noch in zeitliche Relationen gesetzt. Das wäre wohl auch eher ein nice-to-know. Ich kann ja schlecht die Firewall o.ä. in Abhängigkeit irgendwelcher Bots gestalten - das wäre ja ein Fass ohne Boden.
nun zunaechst war ich froh , erstmal wieder logs zu haben bei der Analyse in einer vernuenftigen Zeitspanne ueberhaupt wieder moeglich ist.
Ausserdem interesiert mich es natuerlich schon, mal dahinter zukommen warum ausgerechnet diese Domain so beschossen wird, aber ganz ehrlich ausser die zeitlichen Abhaengigkeiten und die Standortverteilung konnte ich nichts konkretes belegen, dazu muesste man wohl den raw traffic ueber laengere Zeit mitschneiden um diesen dann nach bot signaturen zu scannen, das lohnt dann wiederum auch nur wenn man daraus weitere adaptive Firewall regeln ableiten kann, das geht aber mehr in Richtung intruder detection usw.
Was zeitabhaengige Firewall drops angeht wuerde ich sowas nicht grundsaetzlich ablehnen zb ( dyn Indien Netze Freitag 15-19 Uhr immer smtp droppen etc ), gerade bei mail waere das evtl verkraftbar dazu muesste sich eine eindeutige periode belegen lassen und diese muesste wiederum auch immer neu verfiziert werden. Sicher hoher Aufwand der wie immer im Verhaeltnis stehen muss.
Das eigentlich Anwendungs Problem der iptables recent syslog Methode ist meiner Meinung nach die Komplexitaet der syslog templates ,filter usw hier waere ein framework zum editieren ( evtl fuer alle gaengigen syslog varianten ) sicher hilfreich, damit die Methode breiter angewendet werden wuerde
Gruß Florian
Best Regards MfG Robert Schetterer