[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[postfix-jp: 466] Re: DoS攻撃対策について
- Subject: [postfix-jp: 466] Re: DoS攻撃対策について
- From: Tomoyuki Sakurai <ml-postfix-jp@xxxxxxxxxxxxxxx>
- Date: Thu, 15 Jul 2004 01:36:53 +0900
On Thu, 15 Jul 2004 00:09:53 +0900
Hiroshi Watanabe <watanabe@xxxxxxxxxx> wrote:
| 一昨日あたりから、DoS攻撃のようなものが来るようになりました。
| 具体的には、maillogで、
| Jul 14 hh:mm:ss dns postfix/smtpd[xxxx]: connect from hogehoge.net[xx.xx.xx.xx]
| Jul 14 hh:mm:ss dns postfix/smtpd[xxxx]: NOQUEUE: reject: RCPT from
| hogehoge.net[xx.xx.xx.xx]: 450 <foo@xxxxxxxxxx>:
| Recipient address rejected: User unknown in local recipient table;
| from=<> to=<foo@xxxxxxxxxx> proto=ESMTP helo=<hogehoge.net>
| Jul 14 hh:mm:ss dns postfix/smtpd[xxxx]: disconnect from hogehoge.net[xx.xx.xx.xx]
ログは可能な限りそのまま引用してもらえませんか。
| これが1秒間に数回繰り返される感じです。
| hogehoge.net[xx.xx.xx.xx]は、200種類以上はあり、
何か特徴はないのですか?envelope-fromがnull senderになっていますが、接続
してくるSMTPクライアントがMTAである可能性はありますか?接続になんの規則
性も見つけられませんか?それぞれのSMTPクライアントにも規則性はないですか?
SMTPクライアントのIPアドレスのいくつかを次のサイトで調べると、どのような
結果が出ますか?
http://openrbl.org/
| 昨日は、maillogを解析して、多いものから順にルータでつぶすようにしていま
| したが、結局、敵の数が多すぎて、何の解決にもなりませんでした。
/32で指定しているのなら、追いつかないでしょうね。white listと相談しなが
ら、より大きな範囲で拒否するといいかもしれません。もし、大規模なDDoSなら
ISPにも相談すべきでしょう。
| OS:FreeBSD 4.9
|
| bash# postconf -n (関連のありそうなもの)
| unknown_local_recipient_reject_code = 450
なぜ450なのですか?仮にSMTPクライアントをMTAと仮定すると、延々と再送して
くるはずですが。
| こういうときは、どのような対策があるのでしょうか。
状況がつかめないので、思いつくものをいくつか。
おそらくPostfixは、通常よりも多くの接続を同時にさばいているでしょうから
master.cfで定義されるsmtpdのmaxprocを再確認することでしょう。
最近ではrelays.ordb.orgはほとんど無力に近いので、他の適切なDNSBLを併用す
るでしょう。
また、SMTPクライアントの挙動にもよりますが、smtpd_timeoutの値を変更する
必要がある(QUITしないSMTPクライアントとか)かもしれません。
場合によっては、smtpd_client_connection_count_limitや
smtpd_client_connection_rate_limitを使う(experimental releaseだけだった
かも?)かもしれません。
仮にSMTPクライアントがopen proxyだとすると、次のような構成でopen proxyを
round robin(?)させていると推測できることがあります。
+--->open proxy--+
| |
MTA-----+--->open proxy--+----->victim's MTA
| |
+--->open proxy--+
こうした場合だと、最初のopen proxyが拒否されるまで次のopen proxyを使わな
いことがあります。(幸いにも)もしそうであれば、一つの接続をtarpitにはめる
ことで、接続回数を大幅に減らすことができます。リソースに余裕がある場合は
検討する価値があるでしょう。
white listを整備してあれば、多少drasticな制限を掛けても、緊急避難(実際に
緊急なのかどうかはわかりませんが)で許されると思います。
ただし、リソースに余裕があり、適切に拒否できている場合は、放置するかもし
れません。
--
Tomoyuki Sakurai - Tomi -
mailto:ml-postfix-jp@xxxxxxxxxxxxxxx
local dnsbl files updated daily at
rsync://trombik.mine.nu/spf/output/
_______________________________________________
Postfix-jp-list mailing list
Postfix-jp-list@xxxxxxxxxxxxxxxxxxxx
http://lists.sourceforge.jp/mailman/listinfo/postfix-jp-list
- Follow-Ups
-
- [postfix-jp: 470] Re: DoS攻撃対策について, Hiroshi Watanabe
- References
-
- [postfix-jp: 465] DoS攻撃対策について, Hiroshi Watanabe
[検索ページ]
[Postfix-JP ML Home]