Ломятся с подобных IP. Стало интересно - методика обмана правил/фильтров (именем localhost) или подобная настройка может быть нужна ещё для каких-то целей.
Deerenaros: прокси-сервер не раздает адреса (этим, как правило, занимается DHCP) и никак не контролирует DNS-трафик клиентов (который обходит практически любой FW),
сканирование сети не всегда выполняется сканированием портов (порты появляются в TCP/UDP, а сканирование может идти с использованием других техник или протоколов ARP, ICMP),
антивирусы от разных вендоров устанавливаются на разные узлы (узлы сети делят на классы по функциональному назначению или другим критериям)
Deerenaros: вы, видимо, предполагаете, что в корпоративных/служебных системах пользователи тоже хранят данные в облаках, а самое важное, что можно потерять - видео.
Вирус-шифровальщик не будет подбирать пароль к разделу TrueCrypt, а просто зашифрует его служебные файлы с метаданными и потребует некоторую сумму за обратную операцию.
Deerenaros: Далеко не у всех мониторинга трафика ограничивается чтением чужих сообщений.
Чаще - выявление нестандартных пакетов/протоколов, аномальные всплески (характерные для сканиования сетей и туннелей DNS) и т.д.
Deerenaros:
Обойти несколько антивирусов сложнее, чем один. Спорить об их эффективности - это как спорить о прививках, у каждого свое мнение и аргументы.
Продукты антивирусных компаний давно используют не только сигнатурный анализ, но и множество других технологий (поведенческий анализ, анализ событий событий на всех станциях организации и др.), которые, естественно, не дают 100% защиты.
Продуманная политика обновлений - это не тоже самое, что бездумное автоматическое обновление. Проблемы с обновлениями бывают у всех производителей/разработчиков без исключений, у кого-то чаще, у кого-то реже. Политика для этого и разрабатывается, чтобы регламентировать что/как/когда и планы если вдруг "шеф, всё пропало!".
Сопровождение унаследованных проектов - большая и, порой, далеко не тривиальная задача.
Защищенность выше при соответствующей подготовке персонала - согласен. В остальном - продолжение мифа о защищенности.
Сейчас хватает ботнетов и командных серверов на взломанных разновидностях Linux/Unix (как серверах, так и персональных устройствах).
Защищенность и отсутствие вредоносного кода для Linux/Unix - сильно разрекламированный миф. Дыр и уязвимостей как в ядре, так и в различном прикладном ПО хватает.
Вопрос не с выявлении спама или взломе, а, больше, в доверии к системам безопасности на серверах «почтовых гигантов», которые защищены антивирусами и антиспам системами, обладают хорошими наработками по определению взломов и выявлению рассылок - это "повышает доверие" к письмам
Виталий Пухов: Вы предложили очень интересное решение, к сожалению не силен в С#/.Net, поэтому не могу его оценить. Самописное решение имеет определенные недостатки с т.з. поддержки. Надеюсь найти решение за счет менее кардинальных способов.
Сергей: перечитайте, пожалуйста, вопрос. И в вопросе и в переписке с Вами указано, почему нельзя использовать один сервис фильтрации. Во всех вышеперечисленных обнаруживались ложные срабатывания.
Сергей: перечитайте, пожалуйста, вопрос. Прекрасно понимаю как работает DNS. Анализатор трафика и логи (на сервере или на граничном оборудовании) не решают поставленного вопроса. Не проблема знать все домены, проблема проверять их по актуальным базам, желательно, с минимальной задержкой. Есть вариант скриптом брать журнал граничного DNS и формировать запросы на внешние сервисы фильтрации, но это кривой костыль.
Сергей: существуют системы фильтрации на базе DNS (opendns.org rejector.ru dns.yandex.ru skydns.ru и др.)
они позволяют блокировать (выдавать специфический ответ) на домены из black list (фишинг, вирусы, ботнеты и т.д.)
Сергей: DNS штатно не умеет клонировать запросы, поэтому и спрашивают как это можно реализовать.
Надеюсь выше понятно описано, почему не подходит решение с прокси и заворачивать весь трафик на один сервис фильтрации?
>>Цель - [по анализу журналов] выявление обращений к доменам из black list (ботнеты, вирусы и т.п.) разных сервисов.
Использовать один сервис (платный/бесплатный), на который завернуть рабочий DNS трафик нельзя, т.к.
бывают ложные блокировки;
база одного ресурса меньше баз нескольких ресурсов.
Сергей: в статье есть описание как клонировать DNS запросы или все запросы заворачиваются на один DNS и анализируются логи? Перезапуск боевого DNS сервера крупной сети каждый час - чревато.