Re: DOS su SMTP server

At 18.00 07/04/2003 +0200, you wrote:
>Salve a tutti.
>sendmail e' configurato per nn lanciare piu di 50 processi figlio, e a
>quanto pare un tipo se ne e' accorto. Ha fatto un po' di telnet sulla 25
>e gli utenti per un po' non hanno ricevuto posta.
>Chi ha messo su l'accrocchio ha pensato che settare cosi' sendmail
>potesse essere utile per evitare eventuali sovraccarichi del sistema e
>perche' no dos, ha pensato MALE.
>La soluzione pare semplice, basta consentire solo un numero ridotto di
>connessioni simultanee dallo stesso ip...ma come???
>Tra le opzioni di sendmail nn ho trovato nulla, ma ho trovato qls che
>puo' servire su inetd.

personalmente, al momento risolverei molto velocemente con un wrapper esterno
mi vengono in mente due soluzioni sopra tutte:
1) usare il log di un firewall; con iptables dovrebbe essere relativamente 
semplice:
mandi l'output del log su un file (solo porta 25), e con un simpatico tail 
-f (visto che il file non finisce..)
poi per esempio dopo 5 volte che viene inserito lo stesso ip (ricorda di 
mettere un timeout...)
viene richiamato il file di batch con le regole di iptables, aggiungendo un 
REJECT sulla porta
25 per quell'ip (magari passato tramite una variabile: `BAN="ip" 
/etc/rc.d/rc.firewall`)
2) creare proprio un programma (in c è lungo e devi vedere un po' come 
fare, in java
è molto semplice - semplicemente perché ha già tutti i metodi pronti all'uso),
lasciare sendmail solo in locale e fare in modo che questo programma gli passi
le mail.

MA tutto ciò è piuttosto laborioso...
secondo me c'è sicuramente qualcosa in rete (prova con google) già pronto...

Daniele 


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List