[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[postfix-jp: 466] Re: DoS攻撃対策について



On Thu, 15 Jul 2004 00:09:53 +0900
Hiroshi Watanabe <watanabe@xxxxxxxxxx> wrote:

| 一昨日あたりから、DoS攻撃のようなものが来るようになりました。
| 具体的には、maillogで、
| Jul 14 hh:mm:ss dns postfix/smtpd[xxxx]: connect from hogehoge.net[xx.xx.xx.xx]
| Jul 14 hh:mm:ss dns postfix/smtpd[xxxx]: NOQUEUE: reject: RCPT from 
| hogehoge.net[xx.xx.xx.xx]: 450 <foo@xxxxxxxxxx>:
| Recipient address rejected: User unknown in local recipient table; 
| from=<> to=<foo@xxxxxxxxxx> proto=ESMTP helo=<hogehoge.net>
| Jul 14 hh:mm:ss dns postfix/smtpd[xxxx]: disconnect from hogehoge.net[xx.xx.xx.xx]

ログは可能な限りそのまま引用してもらえませんか。

| これが1秒間に数回繰り返される感じです。
| hogehoge.net[xx.xx.xx.xx]は、200種類以上はあり、

何か特徴はないのですか?envelope-fromがnull senderになっていますが、接続
してくるSMTPクライアントがMTAである可能性はありますか?接続になんの規則
性も見つけられませんか?それぞれのSMTPクライアントにも規則性はないですか?
SMTPクライアントのIPアドレスのいくつかを次のサイトで調べると、どのような
結果が出ますか?

http://openrbl.org/

| 昨日は、maillogを解析して、多いものから順にルータでつぶすようにしていま
| したが、結局、敵の数が多すぎて、何の解決にもなりませんでした。

/32で指定しているのなら、追いつかないでしょうね。white listと相談しなが
ら、より大きな範囲で拒否するといいかもしれません。もし、大規模なDDoSなら
ISPにも相談すべきでしょう。

| OS:FreeBSD 4.9
| 
| bash# postconf -n (関連のありそうなもの)

| unknown_local_recipient_reject_code = 450

なぜ450なのですか?仮にSMTPクライアントをMTAと仮定すると、延々と再送して
くるはずですが。

| こういうときは、どのような対策があるのでしょうか。

状況がつかめないので、思いつくものをいくつか。

おそらくPostfixは、通常よりも多くの接続を同時にさばいているでしょうから
master.cfで定義されるsmtpdのmaxprocを再確認することでしょう。

最近ではrelays.ordb.orgはほとんど無力に近いので、他の適切なDNSBLを併用す
るでしょう。

また、SMTPクライアントの挙動にもよりますが、smtpd_timeoutの値を変更する
必要がある(QUITしないSMTPクライアントとか)かもしれません。

場合によっては、smtpd_client_connection_count_limitや
smtpd_client_connection_rate_limitを使う(experimental releaseだけだった
かも?)かもしれません。

仮にSMTPクライアントがopen proxyだとすると、次のような構成でopen proxyを
round robin(?)させていると推測できることがあります。

		+--->open proxy--+
		|				 |
MTA-----+--->open proxy--+----->victim's MTA
		|				 |
		+--->open proxy--+

こうした場合だと、最初のopen proxyが拒否されるまで次のopen proxyを使わな
いことがあります。(幸いにも)もしそうであれば、一つの接続をtarpitにはめる
ことで、接続回数を大幅に減らすことができます。リソースに余裕がある場合は
検討する価値があるでしょう。

white listを整備してあれば、多少drasticな制限を掛けても、緊急避難(実際に
緊急なのかどうかはわかりませんが)で許されると思います。

ただし、リソースに余裕があり、適切に拒否できている場合は、放置するかもし
れません。

--
Tomoyuki Sakurai - Tomi -
mailto:ml-postfix-jp@xxxxxxxxxxxxxxx
local dnsbl files updated daily at
rsync://trombik.mine.nu/spf/output/

_______________________________________________
Postfix-jp-list mailing list
Postfix-jp-list@xxxxxxxxxxxxxxxxxxxx
http://lists.sourceforge.jp/mailman/listinfo/postfix-jp-list

Follow-Ups
[postfix-jp: 470] Re: DoS攻撃対策について, Hiroshi Watanabe
References
[postfix-jp: 465] DoS攻撃対策について, Hiroshi Watanabe

[検索ページ] [Postfix-JP ML Home]