2008/2/28 Dmitry Kiselev
Задача ограничится только детектированием таких клиентов. А тут уже без достаточно точного поведенческого анализа никак. Я очень сомневаюсь, что arbor/lancop/etc сумеет задетектить деятельность одного бота сознательно зарезающего свою пропускную способность 128Kbps/20pps от рядом живущих 256Kbps/40pps клиентов легально отдающих что-то по p2p.
А эт-т-та, тут не обязательно поведенческий анализ. IMHO для снижения уровня проблемы до приемлемого достаточно будет трешхолдов на UDP трафик и half-opened TCP сессий, а также введения соотношения in/out для UDP/ICMP (если бот меняет порты в процессе генерации трафика - это не критически добавляет сложности в анализатор). Ну и все-таки, мне кажется, что анализ контента, поступающего к клиенту через SMTP/Web - фича, которая добавит эффективности. (Для Андрея Стесина) ведь ее не обязательно включать по принципу "не пущать", достаточно делать предупреждение клиенту примерно так, как это делает Firefox - "сайт, который вы собираетесь посетить, может содержать угрозу для безопасности вашего компьютера и привести к уничтожению данных, хранящихся на нем. Хотите продолжить?". И в почтовый ящик - "в Ваш адрес поступило письмо от blah-blah-blah, которое может содержать угрозу для безопасности вашего компьютера и привести к уничтожению данных, хранящихся на нем. Перейдите по этой ссылке, если вы все-таки хотите получить к нему доступ. Ссылка активна на протяжении 30 дней, после чего письмо будет уничтожено". Уверен, что 99% пользователей, если текст будет написан на их родном языке, не пойдут дальше этого предупреждения. -- /doka =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message