隨風浮雲 發表於 2006-7-21 05:55:44

連續攻擊

下面這個發信主機,一直重覆發送郵件攻擊,MDAEMON 似乎沒有好的方法可以抵擋攻擊。<br>Thu 2006-07-20 20:58:09: ---------- Partial transcript, remainder will follow. <br>Thu 2006-07-20 20:58:09: Session 81; child 1; thread 752 <br>Thu 2006-07-20 20:56:41: Accepting SMTP connection from <br>Thu 2006-07-20 20:56:41: Performing PTR lookup (168.218.254.218.IN-ADDR.ARPA) <br>Thu 2006-07-20 20:56:41: * D=168.218.254.218.IN-ADDR.ARPA TTL=(59) PTR= <br>Thu 2006-07-20 20:56:41: * Gathering A records... <br>Thu 2006-07-20 20:56:42: * D=cm218-254-218-168.hkcable.com.hk TTL=(480) A= <br>Thu 2006-07-20 20:56:42: ---- End PTR results <br>Thu 2006-07-20 20:56:42: --&#62; 220 company.com.tw ESMTP MAIL ready <br>Thu 2006-07-20 20:56:43: &lt;-- EHLO cm218-254-218-168.hkcable.com.hk <br>Thu 2006-07-20 20:56:43: Performing IP lookup (cm218-254-218-168.hkcable.com.hk) <br>Thu 2006-07-20 20:56:43: * D=cm218-254-218-168.hkcable.com.hk TTL=(479) A= <br>Thu 2006-07-20 20:56:43: ---- End IP lookup results <br>Thu 2006-07-20 20:56:43: --&#62; 250-company.com.tw Hello cm218-254-218-168.hkcable.com.hk, pleased to meet you <br>Thu 2006-07-20 20:56:43: --&#62; 250-ETRN <br>Thu 2006-07-20 20:56:43: --&#62; 250-AUTH=LOGIN <br>Thu 2006-07-20 20:56:43: --&#62; 250-AUTH LOGIN CRAM-MD5 <br>Thu 2006-07-20 20:56:43: --&#62; 250-8BITMIME <br>Thu 2006-07-20 20:56:43: --&#62; 250 SIZE 0 <br>Thu 2006-07-20 20:56:44: &lt;-- MAIL FROM:&lt;[email protected]&gt; <br>Thu 2006-07-20 20:56:44: --&#62; 550 Domain company.com.tw does not accept mail from cm218-254-218-168.hkcable.com.hk <br>Thu 2006-07-20 20:56:45: &lt;-- RSET <br>Thu 2006-07-20 20:56:45: --&#62; 250 RSET? Well, ok. <br>Thu 2006-07-20 20:56:46: &lt;-- MAIL FROM:&lt;[email protected]&gt; <br>Thu 2006-07-20 20:56:46: --&#62; 550 Domain company.com.tw does not accept mail from cm218-254-218-168.hkcable.com.hk <br>Thu 2006-07-20 20:56:47: &lt;-- RSET <br>它一直試到 <br>Fri 2006-07-21 01:04:22: --&#62; 250 RSET? Well, ok. <br>Fri 2006-07-21 01:04:22: &lt;-- MAIL FROM:&lt;[email protected]&gt; <br>Fri 2006-07-21 01:04:22: --&#62; 550 Domain company.com.tw does not accept mail from c-69-180-131-172.hsd1.mn.comcast.net <br>Fri 2006-07-21 01:04:23: &lt;-- RSET <br>Fri 2006-07-21 01:04:23: --&#62; 250 RSET? Well, ok. <br>Fri 2006-07-21 01:04:23: &lt;-- MAIL FROM:&lt;[email protected]&gt; <br>Fri 2006-07-21 01:04:23: --&#62; 550 Domain company.com.tw does not accept mail from c-69-180-131-172.hsd1.mn.comcast.net <br>Fri 2006-07-21 01:04:24: &lt;-- RSET <br>Fri 2006-07-21 01:04:24: --&#62; 250 RSET? Well, ok. <br>Fri 2006-07-21 01:04:24: Winsock Error 10054 Connection was reset by the other side&#33; <br>Fri 2006-07-21 01:04:24: SMTP session terminated (Bytes in/out: 351567/927048)<br><br>結果這四小時,頻寬被它吃完,拿它一點辦法都沒有,MDAEMON應該多一個設定,收件者超過幾個人,就直接給它斷線不要讓它再試了。<br><br>P.S. 雖然有設防火牆,但是公司長期對內對外傳輸大型檔案,所以也無法設規則判定連線時間。

MarchFun 發表於 2006-7-21 11:04:13

遇到這種的,大概只有直接封 IP 一途了。

隨風浮雲 發表於 2006-7-21 22:14:25

它使用的是動態IP,而且還一直更換IP,這個IP還是不同的網段,所以只能封主機名,但是MDAEMON還是會出現<br>550 Domain company.com.tw does not accept mail from cm218-254-218-168.hkcable.com.hk <br><br>一直讓它重試。<br>今天被攻擊了八個小時,LOG資料高達140頁。 <!--emo&:頭破血流:--><img src='http://www.suma.tw/uploads/smiles-063.gif' border='0' style='vertical-align:middle' alt='smiles-063.gif' /><!--endemo--> <!--emo&:爆青筋;--><img src='http://www.suma.tw/uploads/smiles-a007.gif' border='0' style='vertical-align:middle' alt='smiles-a007.gif' /><!--endemo--> <!--emo&:必殺:--><img src='http://www.suma.tw/uploads/smiles-a011.gif' border='0' style='vertical-align:middle' alt='smiles-a011.gif' /><!--endemo-->

MarchFun 發表於 2006-7-21 23:34:55

如果是這樣就真的沒有辦法了。

MarchFun 發表於 2006-7-22 10:57:31

我想到還有另外一條路可以補 MDaemon 的不足,就是 Pre-processing。讓 MDaemon 在處理郵件前先交給其他自訂的程式處理。不過這個自訂的程式有沒有簡單的方法及語言來寫,這點就沒有研究過了。

隨風浮雲 發表於 2006-7-22 12:07:55

力晶的EXCHANGE SERVER 外掛的廣告信測試方法是:你第一次寄信給它們,它會依你給它的EMAIL回一封信給你,如果寄信者存在,就接受你的信件,不然直接踢掉,這個就很好用,至於是他們那位MIS人員寫的就不可考了。<br><br>其實我上面這個情形,到今天早上還在被攻擊,不知道我如何招惹這個傢伙了,它一直換IP,而且寄、收件者,都用隨機的方式大量產生,所以我才提到這種方法就只有以控制收件者數量大於幾封,然後直接封IP幾分鐘的控制方式才能解決。

隨風浮雲 發表於 2006-7-23 03:57:22

Sun 2006-07-23 03:03:41: &lt;-- RCPT TO: &lt;[email protected]&gt; <br>Sun 2006-07-23 03:03:41: More than 5 RCPT commands encountered; this session tarpitted with a 15 second initial delay scaling by 1.00 <br><br>今天又來個連續攻擊,不過這次MDAEMON卻擋掉,所以它只擋正常發信程序,如果像我上面的情況,發信者一直以不同的發信者重試,雖然已設定不接受該主機名或該IP,它就不擋了,真是Orz <!--emo&:不知所云;--><img src='http://www.suma.tw/uploads/smiles-a003.gif' border='0' style='vertical-align:middle' alt='smiles-a003.gif' /><!--endemo-->

隨風浮雲 發表於 2006-7-31 11:34:18

找到了不是很好的解決方法,利用 Dynamic Screening 封IP 段且設定連線時間。<br># Dynamic Screening Database<br>#<br># This file lists IP addresses which have been automatically banned by the<br># Dynamic Screening system.<br>#<br># Entries take this form: IP&lt;space&gt;Minutes<br># Ex: 192.168.0.1 60 - this means the IP 192.168.0.1 can not connect for 60<br># minutes.<br><br>為什麼說不是很好的解決方法,因為 攻擊我的IP 段,是隨機且攻擊時間不一,也就是一堆彊屍電腦被當作跳板攻擊。

隨風浮雲 發表於 2006-7-31 22:47:17

測試結果失敗,因為MDAEMON會自動計時,也就是你設定封住三十分鐘,它就開始到數計時,三十分鐘後就歸零,封IP就失效了。
頁: [1]
檢視完整版本: 連續攻擊