Re: [FUG-BR] PF + Tarpitting
Victor, Esse script *.pl tb funciona para IIS? Obrigado, Atenciosamente, Rodrigo Victor escreveu: Olá Renato, Desculpe mas acho que você não entendeu. O SPAM que eu me refiro é ao flood de conexões feito por um script em Perl que gera quantas conexões você quiser no alvo e consequentemente o apache para de responder, simplificando é um DDoS. Se quiser, pode mandar uma mensagem em particular que eu te explico melhor e se desejar efetuo o ataque em seu apache para você ver como funciona. Obrigado. -- Atenciosamente, Victor Gustavo Volpe Diretor Executivo Grupo Total Serviços de Internet LTDA - ME CNPJ: 08.776.401/0001-40 (17) 3227-0686 / 9105-5392 - Original Message - From: renato martins [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Monday, November 17, 2008 10:35 AM Subject: Re: [FUG-BR] PF + Tarpitting Você está usando pf para proteger seu apache de spam ? apache é seu servidor de sites no máximo spammers podem coletar emails de seu site para envia para eles spam mas desta forma seu usuário receberia um caminhào de spam e não seria taxados como spammers. Se seus usuários está sendo marcos como spammers provavelmente eles sejão, até involuntariamente pois suas máquinas podem estar contaminadas com vírus, warms e outros ou estão mandando email marketing mesmo. quanto á isso você não vai resolver com pf nem ipfw a menos que você descubra os usuarios que estào fazendo isso e feche eles no firewall para que não usem servidores smtp externos e em alguns casos como contaminados por virus feche eles até para o seu smtp, O esquema de tarpit tb é muito util nesses casos. oriente seus usuários nào clicarem links em emails desconhecidos ou duvidoso , recomende o uso de ant-virus e ant-spyware 2008/11/16 Victor [EMAIL PROTECTED] Olá Cristina, Agradeço sua resposta. Será que você teria tal regra para IPFW ? Obrigado. -- Atenciosamente, Victor Gustavo Volpe Diretor Executivo Grupo Total Serviços de Internet LTDA - ME CNPJ: 08.776.401/0001-40 (17) 3227-0686 / 9105-5392 - Original Message - From: Cristina Fernandes Silva [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Saturday, November 15, 2008 11:14 PM Subject: Re: [FUG-BR] PF + Tarpitting Ja tentou usar o IPFW ?? 2008/11/15 Victor [EMAIL PROTECTED]: Olá amigos, Utilizo o PF do FreeBSD para proteger meu apache contra ataques de spam (httpd.pl). Estou no momento usando uma regra apresentada nos documentos oficiais do PF (http://www.openbsd.org/faq/pf/filter.html): table abusive_hosts persist block in quick from abusive_hosts pass in on $ext_if proto tcp to $web_server \ port www flags S/SA keep state \ (max-src-conn 100, max-src-conn-rate 15/5, overload abusive_hosts flush) Porém vários usuários estão sendo taxados como spammers indevidamente. Vi no man page do PF que é possível fazer um tarpit para os overloads, o que seria mais interessante do que adcionar os IP's em uma black list definitiva. Não sei que software pode ser utilizado para fazer este tarpit ou mesmo como redirecionar a table para ele. Não consegui nada no Google, apenas tarpitting de SMTP. Será que alguém poderia me dar uma luz ? Só para constar, quando eu usava Linux, utilizava a seguinte regra no iptables e funcionava perfeitamente: /sbin/iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --set --name ANTISPAM -j ACCEPT /sbin/iptables -A INPUT -p tcp --dport 80 -m recent --update --seconds 5 --hitcount 15 --name ANTISPAM -j DROP Obrigado. -- Atenciosamente, Victor Gustavo Volpe Diretor Executivo Grupo Total Serviços de Internet LTDA - ME CNPJ: 08.776.401/0001-40 (17) 3227-0686 / 9105-5392 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd __ NOD32 3615 (20081115) Information __ This message was checked by NOD32 antivirus system. http://www.eset.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd __ NOD32 3618 (20081117) Information __ This message was checked by NOD32 antivirus system. http://www.eset.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https
Re: [FUG-BR] PF + Tarpitting
Olá Rodrigo, Então... eu rodei o IIS em um VPS para testes e mandei fazer 2000 conexões que é mais do que suficiente para floodar um apache e não fez nem cócegas. Consumo de memória e CPU estáveis, respondeu a todas conexões e não ficou lento e nem caiu. Testei com 4 e 8 mil conexões também com o mesmo resultado. Abraços. -- Atenciosamente, Victor Gustavo Volpe Diretor Executivo Grupo Total Serviços de Internet LTDA - ME CNPJ: 08.776.401/0001-40 (17) 3227-0686 / 9105-5392 - Original Message - From: Rodrigo de Oliveira Gomes [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, November 18, 2008 9:02 AM Subject: Re: [FUG-BR] PF + Tarpitting Victor, Esse script *.pl tb funciona para IIS? Obrigado, Atenciosamente, Rodrigo Victor escreveu: Olá Renato, Desculpe mas acho que você não entendeu. O SPAM que eu me refiro é ao flood de conexões feito por um script em Perl que gera quantas conexões você quiser no alvo e consequentemente o apache para de responder, simplificando é um DDoS. Se quiser, pode mandar uma mensagem em particular que eu te explico melhor e se desejar efetuo o ataque em seu apache para você ver como funciona. Obrigado. -- Atenciosamente, Victor Gustavo Volpe Diretor Executivo Grupo Total Serviços de Internet LTDA - ME CNPJ: 08.776.401/0001-40 (17) 3227-0686 / 9105-5392 - Original Message - From: renato martins [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Monday, November 17, 2008 10:35 AM Subject: Re: [FUG-BR] PF + Tarpitting Você está usando pf para proteger seu apache de spam ? apache é seu servidor de sites no máximo spammers podem coletar emails de seu site para envia para eles spam mas desta forma seu usuário receberia um caminhào de spam e não seria taxados como spammers. Se seus usuários está sendo marcos como spammers provavelmente eles sejão, até involuntariamente pois suas máquinas podem estar contaminadas com vírus, warms e outros ou estão mandando email marketing mesmo. quanto á isso você não vai resolver com pf nem ipfw a menos que você descubra os usuarios que estào fazendo isso e feche eles no firewall para que não usem servidores smtp externos e em alguns casos como contaminados por virus feche eles até para o seu smtp, O esquema de tarpit tb é muito util nesses casos. oriente seus usuários nào clicarem links em emails desconhecidos ou duvidoso , recomende o uso de ant-virus e ant-spyware 2008/11/16 Victor [EMAIL PROTECTED] Olá Cristina, Agradeço sua resposta. Será que você teria tal regra para IPFW ? Obrigado. -- Atenciosamente, Victor Gustavo Volpe Diretor Executivo Grupo Total Serviços de Internet LTDA - ME CNPJ: 08.776.401/0001-40 (17) 3227-0686 / 9105-5392 - Original Message - From: Cristina Fernandes Silva [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Saturday, November 15, 2008 11:14 PM Subject: Re: [FUG-BR] PF + Tarpitting Ja tentou usar o IPFW ?? 2008/11/15 Victor [EMAIL PROTECTED]: Olá amigos, Utilizo o PF do FreeBSD para proteger meu apache contra ataques de spam (httpd.pl). Estou no momento usando uma regra apresentada nos documentos oficiais do PF (http://www.openbsd.org/faq/pf/filter.html): table abusive_hosts persist block in quick from abusive_hosts pass in on $ext_if proto tcp to $web_server \ port www flags S/SA keep state \ (max-src-conn 100, max-src-conn-rate 15/5, overload abusive_hosts flush) Porém vários usuários estão sendo taxados como spammers indevidamente. Vi no man page do PF que é possível fazer um tarpit para os overloads, o que seria mais interessante do que adcionar os IP's em uma black list definitiva. Não sei que software pode ser utilizado para fazer este tarpit ou mesmo como redirecionar a table para ele. Não consegui nada no Google, apenas tarpitting de SMTP. Será que alguém poderia me dar uma luz ? Só para constar, quando eu usava Linux, utilizava a seguinte regra no iptables e funcionava perfeitamente: /sbin/iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --set --name ANTISPAM -j ACCEPT /sbin/iptables -A INPUT -p tcp --dport 80 -m recent --update --seconds 5 --hitcount 15 --name ANTISPAM -j DROP Obrigado. -- Atenciosamente, Victor Gustavo Volpe Diretor Executivo Grupo Total Serviços de Internet LTDA - ME CNPJ: 08.776.401/0001-40 (17) 3227-0686 / 9105-5392 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd __ NOD32 3615 (20081115) Information __ This message was checked by NOD32 antivirus system. http
Re: [FUG-BR] PF + Tarpitting
Victor, Gostaria de testar esse script... vc poderia enviar para lista ou pvt? OBrigado, Atenciosamente, Rodrigo Gomes Victor escreveu: Olá Rodrigo, Então... eu rodei o IIS em um VPS para testes e mandei fazer 2000 conexões que é mais do que suficiente para floodar um apache e não fez nem cócegas. Consumo de memória e CPU estáveis, respondeu a todas conexões e não ficou lento e nem caiu. Testei com 4 e 8 mil conexões também com o mesmo resultado. Abraços. -- Atenciosamente, Victor Gustavo Volpe Diretor Executivo Grupo Total Serviços de Internet LTDA - ME CNPJ: 08.776.401/0001-40 (17) 3227-0686 / 9105-5392 - Original Message - From: Rodrigo de Oliveira Gomes [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, November 18, 2008 9:02 AM Subject: Re: [FUG-BR] PF + Tarpitting Victor, Esse script *.pl tb funciona para IIS? Obrigado, Atenciosamente, Rodrigo Victor escreveu: Olá Renato, Desculpe mas acho que você não entendeu. O SPAM que eu me refiro é ao flood de conexões feito por um script em Perl que gera quantas conexões você quiser no alvo e consequentemente o apache para de responder, simplificando é um DDoS. Se quiser, pode mandar uma mensagem em particular que eu te explico melhor e se desejar efetuo o ataque em seu apache para você ver como funciona. Obrigado. -- Atenciosamente, Victor Gustavo Volpe Diretor Executivo Grupo Total Serviços de Internet LTDA - ME CNPJ: 08.776.401/0001-40 (17) 3227-0686 / 9105-5392 - Original Message - From: renato martins [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Monday, November 17, 2008 10:35 AM Subject: Re: [FUG-BR] PF + Tarpitting Você está usando pf para proteger seu apache de spam ? apache é seu servidor de sites no máximo spammers podem coletar emails de seu site para envia para eles spam mas desta forma seu usuário receberia um caminhào de spam e não seria taxados como spammers. Se seus usuários está sendo marcos como spammers provavelmente eles sejão, até involuntariamente pois suas máquinas podem estar contaminadas com vírus, warms e outros ou estão mandando email marketing mesmo. quanto á isso você não vai resolver com pf nem ipfw a menos que você descubra os usuarios que estào fazendo isso e feche eles no firewall para que não usem servidores smtp externos e em alguns casos como contaminados por virus feche eles até para o seu smtp, O esquema de tarpit tb é muito util nesses casos. oriente seus usuários nào clicarem links em emails desconhecidos ou duvidoso , recomende o uso de ant-virus e ant-spyware 2008/11/16 Victor [EMAIL PROTECTED] Olá Cristina, Agradeço sua resposta. Será que você teria tal regra para IPFW ? Obrigado. -- Atenciosamente, Victor Gustavo Volpe Diretor Executivo Grupo Total Serviços de Internet LTDA - ME CNPJ: 08.776.401/0001-40 (17) 3227-0686 / 9105-5392 - Original Message - From: Cristina Fernandes Silva [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Saturday, November 15, 2008 11:14 PM Subject: Re: [FUG-BR] PF + Tarpitting Ja tentou usar o IPFW ?? 2008/11/15 Victor [EMAIL PROTECTED]: Olá amigos, Utilizo o PF do FreeBSD para proteger meu apache contra ataques de spam (httpd.pl). Estou no momento usando uma regra apresentada nos documentos oficiais do PF (http://www.openbsd.org/faq/pf/filter.html): table abusive_hosts persist block in quick from abusive_hosts pass in on $ext_if proto tcp to $web_server \ port www flags S/SA keep state \ (max-src-conn 100, max-src-conn-rate 15/5, overload abusive_hosts flush) Porém vários usuários estão sendo taxados como spammers indevidamente. Vi no man page do PF que é possível fazer um tarpit para os overloads, o que seria mais interessante do que adcionar os IP's em uma black list definitiva. Não sei que software pode ser utilizado para fazer este tarpit ou mesmo como redirecionar a table para ele. Não consegui nada no Google, apenas tarpitting de SMTP. Será que alguém poderia me dar uma luz ? Só para constar, quando eu usava Linux, utilizava a seguinte regra no iptables e funcionava perfeitamente: /sbin/iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --set --name ANTISPAM -j ACCEPT /sbin/iptables -A INPUT -p tcp --dport 80 -m recent --update --seconds 5 --hitcount 15 --name ANTISPAM -j DROP Obrigado. -- Atenciosamente, Victor Gustavo Volpe Diretor Executivo Grupo Total Serviços de Internet LTDA - ME CNPJ: 08.776.401/0001-40 (17) 3227-0686 / 9105-5392 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html
Re: [FUG-BR] PF + Tarpitting
Mande para a lista!!! ou se tiver como, dispobilize em algum endereco ftp ou html. Valeu 2008/11/18 Rodrigo de Oliveira Gomes [EMAIL PROTECTED]: Victor, Gostaria de testar esse script... vc poderia enviar para lista ou pvt? OBrigado, Atenciosamente, Rodrigo Gomes Victor escreveu: Olá Rodrigo, Então... eu rodei o IIS em um VPS para testes e mandei fazer 2000 conexões que é mais do que suficiente para floodar um apache e não fez nem cócegas. Consumo de memória e CPU estáveis, respondeu a todas conexões e não ficou lento e nem caiu. Testei com 4 e 8 mil conexões também com o mesmo resultado. Abraços. -- Atenciosamente, Victor Gustavo Volpe Diretor Executivo Grupo Total Serviços de Internet LTDA - ME CNPJ: 08.776.401/0001-40 (17) 3227-0686 / 9105-5392 - Original Message - From: Rodrigo de Oliveira Gomes [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, November 18, 2008 9:02 AM Subject: Re: [FUG-BR] PF + Tarpitting Victor, Esse script *.pl tb funciona para IIS? Obrigado, Atenciosamente, Rodrigo Victor escreveu: Olá Renato, Desculpe mas acho que você não entendeu. O SPAM que eu me refiro é ao flood de conexões feito por um script em Perl que gera quantas conexões você quiser no alvo e consequentemente o apache para de responder, simplificando é um DDoS. Se quiser, pode mandar uma mensagem em particular que eu te explico melhor e se desejar efetuo o ataque em seu apache para você ver como funciona. Obrigado. -- Atenciosamente, Victor Gustavo Volpe Diretor Executivo Grupo Total Serviços de Internet LTDA - ME CNPJ: 08.776.401/0001-40 (17) 3227-0686 / 9105-5392 - Original Message - From: renato martins [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Monday, November 17, 2008 10:35 AM Subject: Re: [FUG-BR] PF + Tarpitting Você está usando pf para proteger seu apache de spam ? apache é seu servidor de sites no máximo spammers podem coletar emails de seu site para envia para eles spam mas desta forma seu usuário receberia um caminhào de spam e não seria taxados como spammers. Se seus usuários está sendo marcos como spammers provavelmente eles sejão, até involuntariamente pois suas máquinas podem estar contaminadas com vírus, warms e outros ou estão mandando email marketing mesmo. quanto á isso você não vai resolver com pf nem ipfw a menos que você descubra os usuarios que estào fazendo isso e feche eles no firewall para que não usem servidores smtp externos e em alguns casos como contaminados por virus feche eles até para o seu smtp, O esquema de tarpit tb é muito util nesses casos. oriente seus usuários nào clicarem links em emails desconhecidos ou duvidoso , recomende o uso de ant-virus e ant-spyware 2008/11/16 Victor [EMAIL PROTECTED] Olá Cristina, Agradeço sua resposta. Será que você teria tal regra para IPFW ? Obrigado. -- Atenciosamente, Victor Gustavo Volpe Diretor Executivo Grupo Total Serviços de Internet LTDA - ME CNPJ: 08.776.401/0001-40 (17) 3227-0686 / 9105-5392 - Original Message - From: Cristina Fernandes Silva [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Saturday, November 15, 2008 11:14 PM Subject: Re: [FUG-BR] PF + Tarpitting Ja tentou usar o IPFW ?? 2008/11/15 Victor [EMAIL PROTECTED]: Olá amigos, Utilizo o PF do FreeBSD para proteger meu apache contra ataques de spam (httpd.pl). Estou no momento usando uma regra apresentada nos documentos oficiais do PF (http://www.openbsd.org/faq/pf/filter.html): table abusive_hosts persist block in quick from abusive_hosts pass in on $ext_if proto tcp to $web_server \ port www flags S/SA keep state \ (max-src-conn 100, max-src-conn-rate 15/5, overload abusive_hosts flush) Porém vários usuários estão sendo taxados como spammers indevidamente. Vi no man page do PF que é possível fazer um tarpit para os overloads, o que seria mais interessante do que adcionar os IP's em uma black list definitiva. Não sei que software pode ser utilizado para fazer este tarpit ou mesmo como redirecionar a table para ele. Não consegui nada no Google, apenas tarpitting de SMTP. Será que alguém poderia me dar uma luz ? Só para constar, quando eu usava Linux, utilizava a seguinte regra no iptables e funcionava perfeitamente: /sbin/iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --set --name ANTISPAM -j ACCEPT /sbin/iptables -A INPUT -p tcp --dport 80 -m recent --update --seconds 5 --hitcount 15 --name ANTISPAM -j DROP Obrigado. -- Atenciosamente, Victor Gustavo Volpe Diretor Executivo Grupo Total Serviços de Internet LTDA - ME CNPJ: 08.776.401/0001-40 (17) 3227-0686 / 9105-5392 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https
Re: [FUG-BR] PF + Tarpitting
Victor, Onde foi que vc rodou o VPS ?? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF + Tarpitting
Em um Dedicado nos Estados Unidos. -- Atenciosamente, Victor Gustavo Volpe Diretor Executivo Grupo Total Serviços de Internet LTDA - ME CNPJ: 08.776.401/0001-40 (17) 3227-0686 / 9105-5392 - Original Message - From: Cristina Fernandes Silva [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Tuesday, November 18, 2008 1:53 PM Subject: Re: [FUG-BR] PF + Tarpitting Victor, Onde foi que vc rodou o VPS ?? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd __ NOD32 3621 (20081118) Information __ This message was checked by NOD32 antivirus system. http://www.eset.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF + Tarpitting
Você está usando pf para proteger seu apache de spam ? apache é seu servidor de sites no máximo spammers podem coletar emails de seu site para envia para eles spam mas desta forma seu usuário receberia um caminhào de spam e não seria taxados como spammers. Se seus usuários está sendo marcos como spammers provavelmente eles sejão, até involuntariamente pois suas máquinas podem estar contaminadas com vírus, warms e outros ou estão mandando email marketing mesmo. quanto á isso você não vai resolver com pf nem ipfw a menos que você descubra os usuarios que estào fazendo isso e feche eles no firewall para que não usem servidores smtp externos e em alguns casos como contaminados por virus feche eles até para o seu smtp, O esquema de tarpit tb é muito util nesses casos. oriente seus usuários nào clicarem links em emails desconhecidos ou duvidoso , recomende o uso de ant-virus e ant-spyware 2008/11/16 Victor [EMAIL PROTECTED] Olá Cristina, Agradeço sua resposta. Será que você teria tal regra para IPFW ? Obrigado. -- Atenciosamente, Victor Gustavo Volpe Diretor Executivo Grupo Total Serviços de Internet LTDA - ME CNPJ: 08.776.401/0001-40 (17) 3227-0686 / 9105-5392 - Original Message - From: Cristina Fernandes Silva [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Saturday, November 15, 2008 11:14 PM Subject: Re: [FUG-BR] PF + Tarpitting Ja tentou usar o IPFW ?? 2008/11/15 Victor [EMAIL PROTECTED]: Olá amigos, Utilizo o PF do FreeBSD para proteger meu apache contra ataques de spam (httpd.pl). Estou no momento usando uma regra apresentada nos documentos oficiais do PF (http://www.openbsd.org/faq/pf/filter.html): table abusive_hosts persist block in quick from abusive_hosts pass in on $ext_if proto tcp to $web_server \ port www flags S/SA keep state \ (max-src-conn 100, max-src-conn-rate 15/5, overload abusive_hosts flush) Porém vários usuários estão sendo taxados como spammers indevidamente. Vi no man page do PF que é possível fazer um tarpit para os overloads, o que seria mais interessante do que adcionar os IP's em uma black list definitiva. Não sei que software pode ser utilizado para fazer este tarpit ou mesmo como redirecionar a table para ele. Não consegui nada no Google, apenas tarpitting de SMTP. Será que alguém poderia me dar uma luz ? Só para constar, quando eu usava Linux, utilizava a seguinte regra no iptables e funcionava perfeitamente: /sbin/iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --set --name ANTISPAM -j ACCEPT /sbin/iptables -A INPUT -p tcp --dport 80 -m recent --update --seconds 5 --hitcount 15 --name ANTISPAM -j DROP Obrigado. -- Atenciosamente, Victor Gustavo Volpe Diretor Executivo Grupo Total Serviços de Internet LTDA - ME CNPJ: 08.776.401/0001-40 (17) 3227-0686 / 9105-5392 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd __ NOD32 3615 (20081115) Information __ This message was checked by NOD32 antivirus system. http://www.eset.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF + Tarpitting
Olá Renato, Desculpe mas acho que você não entendeu. O SPAM que eu me refiro é ao flood de conexões feito por um script em Perl que gera quantas conexões você quiser no alvo e consequentemente o apache para de responder, simplificando é um DDoS. Se quiser, pode mandar uma mensagem em particular que eu te explico melhor e se desejar efetuo o ataque em seu apache para você ver como funciona. Obrigado. -- Atenciosamente, Victor Gustavo Volpe Diretor Executivo Grupo Total Serviços de Internet LTDA - ME CNPJ: 08.776.401/0001-40 (17) 3227-0686 / 9105-5392 - Original Message - From: renato martins [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Monday, November 17, 2008 10:35 AM Subject: Re: [FUG-BR] PF + Tarpitting Você está usando pf para proteger seu apache de spam ? apache é seu servidor de sites no máximo spammers podem coletar emails de seu site para envia para eles spam mas desta forma seu usuário receberia um caminhào de spam e não seria taxados como spammers. Se seus usuários está sendo marcos como spammers provavelmente eles sejão, até involuntariamente pois suas máquinas podem estar contaminadas com vírus, warms e outros ou estão mandando email marketing mesmo. quanto á isso você não vai resolver com pf nem ipfw a menos que você descubra os usuarios que estào fazendo isso e feche eles no firewall para que não usem servidores smtp externos e em alguns casos como contaminados por virus feche eles até para o seu smtp, O esquema de tarpit tb é muito util nesses casos. oriente seus usuários nào clicarem links em emails desconhecidos ou duvidoso , recomende o uso de ant-virus e ant-spyware 2008/11/16 Victor [EMAIL PROTECTED] Olá Cristina, Agradeço sua resposta. Será que você teria tal regra para IPFW ? Obrigado. -- Atenciosamente, Victor Gustavo Volpe Diretor Executivo Grupo Total Serviços de Internet LTDA - ME CNPJ: 08.776.401/0001-40 (17) 3227-0686 / 9105-5392 - Original Message - From: Cristina Fernandes Silva [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Saturday, November 15, 2008 11:14 PM Subject: Re: [FUG-BR] PF + Tarpitting Ja tentou usar o IPFW ?? 2008/11/15 Victor [EMAIL PROTECTED]: Olá amigos, Utilizo o PF do FreeBSD para proteger meu apache contra ataques de spam (httpd.pl). Estou no momento usando uma regra apresentada nos documentos oficiais do PF (http://www.openbsd.org/faq/pf/filter.html): table abusive_hosts persist block in quick from abusive_hosts pass in on $ext_if proto tcp to $web_server \ port www flags S/SA keep state \ (max-src-conn 100, max-src-conn-rate 15/5, overload abusive_hosts flush) Porém vários usuários estão sendo taxados como spammers indevidamente. Vi no man page do PF que é possível fazer um tarpit para os overloads, o que seria mais interessante do que adcionar os IP's em uma black list definitiva. Não sei que software pode ser utilizado para fazer este tarpit ou mesmo como redirecionar a table para ele. Não consegui nada no Google, apenas tarpitting de SMTP. Será que alguém poderia me dar uma luz ? Só para constar, quando eu usava Linux, utilizava a seguinte regra no iptables e funcionava perfeitamente: /sbin/iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --set --name ANTISPAM -j ACCEPT /sbin/iptables -A INPUT -p tcp --dport 80 -m recent --update --seconds 5 --hitcount 15 --name ANTISPAM -j DROP Obrigado. -- Atenciosamente, Victor Gustavo Volpe Diretor Executivo Grupo Total Serviços de Internet LTDA - ME CNPJ: 08.776.401/0001-40 (17) 3227-0686 / 9105-5392 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd __ NOD32 3615 (20081115) Information __ This message was checked by NOD32 antivirus system. http://www.eset.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd __ NOD32 3618 (20081117) Information __ This message was checked by NOD32 antivirus system. http://www.eset.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] PF + Tarpitting
Olá amigos, Utilizo o PF do FreeBSD para proteger meu apache contra ataques de spam (httpd.pl). Estou no momento usando uma regra apresentada nos documentos oficiais do PF (http://www.openbsd.org/faq/pf/filter.html): table abusive_hosts persist block in quick from abusive_hosts pass in on $ext_if proto tcp to $web_server \ port www flags S/SA keep state \ (max-src-conn 100, max-src-conn-rate 15/5, overload abusive_hosts flush) Porém vários usuários estão sendo taxados como spammers indevidamente. Vi no man page do PF que é possível fazer um tarpit para os overloads, o que seria mais interessante do que adcionar os IP's em uma black list definitiva. Não sei que software pode ser utilizado para fazer este tarpit ou mesmo como redirecionar a table para ele. Não consegui nada no Google, apenas tarpitting de SMTP. Será que alguém poderia me dar uma luz ? Só para constar, quando eu usava Linux, utilizava a seguinte regra no iptables e funcionava perfeitamente: /sbin/iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --set --name ANTISPAM -j ACCEPT /sbin/iptables -A INPUT -p tcp --dport 80 -m recent --update --seconds 5 --hitcount 15 --name ANTISPAM -j DROP Obrigado. -- Atenciosamente, Victor Gustavo Volpe Diretor Executivo Grupo Total Serviços de Internet LTDA - ME CNPJ: 08.776.401/0001-40 (17) 3227-0686 / 9105-5392 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF + Tarpitting
Ja tentou usar o IPFW ?? 2008/11/15 Victor [EMAIL PROTECTED]: Olá amigos, Utilizo o PF do FreeBSD para proteger meu apache contra ataques de spam (httpd.pl). Estou no momento usando uma regra apresentada nos documentos oficiais do PF (http://www.openbsd.org/faq/pf/filter.html): table abusive_hosts persist block in quick from abusive_hosts pass in on $ext_if proto tcp to $web_server \ port www flags S/SA keep state \ (max-src-conn 100, max-src-conn-rate 15/5, overload abusive_hosts flush) Porém vários usuários estão sendo taxados como spammers indevidamente. Vi no man page do PF que é possível fazer um tarpit para os overloads, o que seria mais interessante do que adcionar os IP's em uma black list definitiva. Não sei que software pode ser utilizado para fazer este tarpit ou mesmo como redirecionar a table para ele. Não consegui nada no Google, apenas tarpitting de SMTP. Será que alguém poderia me dar uma luz ? Só para constar, quando eu usava Linux, utilizava a seguinte regra no iptables e funcionava perfeitamente: /sbin/iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --set --name ANTISPAM -j ACCEPT /sbin/iptables -A INPUT -p tcp --dport 80 -m recent --update --seconds 5 --hitcount 15 --name ANTISPAM -j DROP Obrigado. -- Atenciosamente, Victor Gustavo Volpe Diretor Executivo Grupo Total Serviços de Internet LTDA - ME CNPJ: 08.776.401/0001-40 (17) 3227-0686 / 9105-5392 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] PF + Tarpitting
Olá Cristina, Agradeço sua resposta. Será que você teria tal regra para IPFW ? Obrigado. -- Atenciosamente, Victor Gustavo Volpe Diretor Executivo Grupo Total Serviços de Internet LTDA - ME CNPJ: 08.776.401/0001-40 (17) 3227-0686 / 9105-5392 - Original Message - From: Cristina Fernandes Silva [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Saturday, November 15, 2008 11:14 PM Subject: Re: [FUG-BR] PF + Tarpitting Ja tentou usar o IPFW ?? 2008/11/15 Victor [EMAIL PROTECTED]: Olá amigos, Utilizo o PF do FreeBSD para proteger meu apache contra ataques de spam (httpd.pl). Estou no momento usando uma regra apresentada nos documentos oficiais do PF (http://www.openbsd.org/faq/pf/filter.html): table abusive_hosts persist block in quick from abusive_hosts pass in on $ext_if proto tcp to $web_server \ port www flags S/SA keep state \ (max-src-conn 100, max-src-conn-rate 15/5, overload abusive_hosts flush) Porém vários usuários estão sendo taxados como spammers indevidamente. Vi no man page do PF que é possível fazer um tarpit para os overloads, o que seria mais interessante do que adcionar os IP's em uma black list definitiva. Não sei que software pode ser utilizado para fazer este tarpit ou mesmo como redirecionar a table para ele. Não consegui nada no Google, apenas tarpitting de SMTP. Será que alguém poderia me dar uma luz ? Só para constar, quando eu usava Linux, utilizava a seguinte regra no iptables e funcionava perfeitamente: /sbin/iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --set --name ANTISPAM -j ACCEPT /sbin/iptables -A INPUT -p tcp --dport 80 -m recent --update --seconds 5 --hitcount 15 --name ANTISPAM -j DROP Obrigado. -- Atenciosamente, Victor Gustavo Volpe Diretor Executivo Grupo Total Serviços de Internet LTDA - ME CNPJ: 08.776.401/0001-40 (17) 3227-0686 / 9105-5392 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd __ NOD32 3615 (20081115) Information __ This message was checked by NOD32 antivirus system. http://www.eset.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd