On Thu, Feb 28, 2008 at 11:04:09AM +0200, Vladimir Litovka wrote:
VL> лечить нужно проактивно, а не реактивно, и не destination hosts, а source hosts.
VL> Андрей прав, что детектировать атаку нужно не на узле, против которого
VL> она направлена (потому что это уже не имеет большого смысла), а на
VL> истоках. Это более масштабная задача, но и более действенная -
VL> детектировать атаку на трафике от каждого зараженного хоста, когда ей
VL> еще 200Kbps.
не говоря о том, что src ip может быть абсолютно левым
VL> Другой вопрос состоит в том, что войны до сих пор существуют на Земле
VL> потому, что это кому-то выгодно. Я не исключаю, что пассивность
VL> операторов отчасти сформирована тем, что им _башляют_ за то, что они
VL> не предпринимают никаких действий против возникновения атак из их
VL> сети. Это, скорее, об Азии. Ну и используются сиротские регионы типа
VL> Украины, где у операторов нет бабла на свое техническое обеспечение, а
VL> клиентов уже много.
VL> Делов-то ведь:
VL> 1) установка SMTP-фильтра, чтобы пользователь получал значительно
VL> меньше ссылок на compromised sites, на которые он по дурости кликает
есть rbl таких сайтов
ряд программ включая бесплатный spamassasssin их используют
но в последнее время рассылки в большинстве своем
"моментальные"
и сами спамеры расчитывают на время жизни такого сайта - 1
день
просто не всегда возможно успеть
а добавить сюда zero-day вирусы ...
VL> 2) установка прозрачного анализа Web-трафика, чтобы пользователь не
VL> мог попасть на большинство compromised sites
существенно более дорогая задача
ввиду требований к real-time
VL> 3) анализ трафика от клиентов на предмет возникновения аномального
VL> поведения и блокировка этого трафика и/или перевод абонента в
VL> карантинную зону
самое эффективное
хотя бы повключать reverse-path filtering в домосетях
ps. не кидайте камнями - у меня включен
VL> очень сложно? да нет же, фуфел работы! только почему-то никто этого не
VL> делает ;-) интересно, почему?
потому что насчет фуфел - ты определенно ошибаешься
VL> 2008/2/28 Andrew Stesin