Добрый день,

Сначала кратко обрисую ситуацию.

Работаю на ISP и в последнее время замечаю, что из нашей сети валит большое кол-во спама.

то что, пользователи спамят сознательно практически исключено потому что:

1. Спамить от нас экономически не выгодно - достаточно дорогой трафик.
2. Все письма, которые мне попадались были расчитаны на получателей из Штатов.
3. Уже есть куча жалоб, что наш биллинг неправильно учитывает трафик.
4. Помимо огромного исходящего трафика у таких клиентов еще и входящий намного превышает норму.

есть подозрения, что народ где-то нацеплял ботов.

Теперь вопрос: существуют ли какие-нибудь решения для обнаружения ботнет-активности? Чтобы при подозрении сразу отключать таких клиентов, а не объяснять им в конце месяца откуда такой бронебойный счет получается.

• Анализ трафика,idle, 14:23 , 29-Ноя-06
  • Анализ трафика,harvs, 14:29 , 29-Ноя-06
• Анализ трафика,A Clockwork Orange, 15:20 , 29-Ноя-06
  • Анализ трафика,harvs, 16:07 , 29-Ноя-06
• Анализ трафика,perece, 16:44 , 29-Ноя-06

>Добрый день,
>
>Сначала кратко обрисую ситуацию.
>
>Работаю на ISP и в последнее время замечаю, что из нашей сети
>валит большое кол-во спама.
>
>то что, пользователи спамят сознательно практически исключено потому что:
>
>1. Спамить от нас экономически не выгодно - достаточно дорогой трафик.
>2. Все письма, которые мне попадались были расчитаны на получателей из Штатов.
>
>3. Уже есть куча жалоб, что наш биллинг неправильно учитывает трафик.
>4. Помимо огромного исходящего трафика у таких клиентов еще и входящий намного
>превышает норму.
>
>
>есть подозрения, что народ где-то нацеплял ботов.
>
>
>Теперь вопрос: существуют ли какие-нибудь решения для обнаружения ботнет-активности? Чтобы при подозрении
>сразу отключать таких клиентов, а не объяснять им в конце месяца
>откуда такой бронебойный счет получается.
Заблокируйте исходящие соединения на 25 порт.

>Заблокируйте исходящие соединения на 25 порт.

Была уже идея, но начальство такую инициативу не одобрило. Сказало, что такое будет только в  самом крайнем случае.

>Добрый день,
>
>Сначала кратко обрисую ситуацию.
>
>Работаю на ISP и в последнее время замечаю, что из нашей сети
>валит большое кол-во спама.
>
>то что, пользователи спамят сознательно практически исключено потому что:
>
>1. Спамить от нас экономически не выгодно - достаточно дорогой трафик.
>2. Все письма, которые мне попадались были расчитаны на получателей из Штатов.
>
>3. Уже есть куча жалоб, что наш биллинг неправильно учитывает трафик.
так если биллинг сертифицированный, класть на жалобы

>4. Помимо огромного исходящего трафика у таких клиентов еще и входящий намного
>превышает норму.
>

за канал платят? кому какое дело. что они по нему пускают.
есть жалобы о спаме от рецепиентов? предупреждение клиенту -> закрытие порта как сказано было ниже, на основании договора.

>>3. Уже есть куча жалоб, что наш биллинг неправильно учитывает трафик.
>так если биллинг сертифицированный, класть на жалобы

Да тут основная трабла в том, что каждому недовольному приходится объяснять, что это не у нас ошибка, а у него бот спамит. Ужасно аннойит...

>>4. Помимо огромного исходящего трафика у таких клиентов еще и входящий намного
>>превышает норму.

>за канал платят? кому какое дело. что они по нему пускают.
>есть жалобы о спаме от рецепиентов? предупреждение клиенту -
> закрытие порта как сказано
> было ниже, на основании договора.

Хотелось бы не доводить до того, чтобы поступали жалобы - мы и так уже в каких только BL ни фигурируем - SMTP-сервер даже пришлось в другую сеть переносить.

>Теперь вопрос: существуют ли какие-нибудь решения для обнаружения ботнет-активности? Чтобы при подозрении
>сразу отключать таких клиентов, а не объяснять им в конце месяца
>откуда такой бронебойный счет получается.
вычислить можно все. статистика вещь великая.
надо бы в первую очередь сбор сырых данных наладить. чем шлюзуете-то?

\^P^/