Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Groups keyboard shortcuts have been updated
Dismiss
See shortcuts

TP nie lubi GIMPa czy co?

85 views
Skip to first unread message

Michal Jankowski

unread,
Dec 28, 2008, 5:11:36 PM12/28/08
to
Sledzenie trasy do dupe.XCF.Berkeley.EDU [128.32.112.245]
1 2 ms 1 ms 3 ms XXXX.internetdsl.tpnet.pl [83.14.xxx.xxx]
2 3 ms 2 ms 2 ms YYYY.internetdsl.tpnet.pl [83.14.xxx.xxx]
3 50 ms 16 ms 12 ms war-ru5.idsl.tpnet.pl [213.25.2.6]
4 * * *

I to juz jest koniec.

A zaraz obok:

Sledzenie trasy do bilk.XCF.Berkeley.EDU [128.32.112.244]
1 2 ms 1 ms 3 ms XXXX.internetdsl.tpnet.pl [83.14.xxx.xxx]
2 3 ms 2 ms 2 ms YYYY.internetdsl.tpnet.pl [83.14.xxx.xxx]
3 14 ms 16 ms 13 ms war-ru5.idsl.tpnet.pl [213.25.2.6]
4 12 ms 17 ms 11 ms ge-2-2-0.war-r4.tpnet.pl [213.25.5.117]
5 120 ms 119 ms 119 ms po8-0.nykcr2.NewYork.opentransit.net [193.251.251.69]
6 123 ms 137 ms 124 ms xe-3-1-0-0.ashtr1.Ashburn.opentransit.net [193.251.243.1]
7 145 ms 137 ms 138 ms ge-0-1-0-0.atlcr3.Atlanta.opentransit.net [193.251.243.178]
8 161 ms 161 ms 157 ms pos0-1-0-0.daltr1.Dallas.opentransit.net [193.251.241.34]

Itd przez 20 kilka hopow bez problemu.

Widac, ze ciecie jest w Warszawie, dalej pakiety w ogole nie wychodza.

Ten pierwszy adres to jest www.gimp.org, z sieci TP strona jest niedostepna.

WTF?

MJ

Krzysztof Oledzki

unread,
Dec 28, 2008, 6:36:18 PM12/28/08
to
Michal Jankowski <mic...@fuw.edu.pl> wrote:
> Sledzenie trasy do dupe.XCF.Berkeley.EDU [128.32.112.245]
> 1 2 ms 1 ms 3 ms XXXX.internetdsl.tpnet.pl [83.14.xxx.xxx]
> 2 3 ms 2 ms 2 ms YYYY.internetdsl.tpnet.pl [83.14.xxx.xxx]
> 3 50 ms 16 ms 12 ms war-ru5.idsl.tpnet.pl [213.25.2.6]
> 4 * * *

http://lg.tpnet.pl/ prawdę powie

> WTF?

BGP routing table entry for 128.32.112.245/32, version 381084613
Paths: (1 available, best #1, not advertised to EBGP peer)
Not advertised to any peer
3402
80.50.231.205 from 80.50.231.205 (213.25.2.10)
Origin IGP, localpref 100, valid, internal, best
Community: 5617:997 5617:3322 no-export
Originator: 213.25.2.238, Cluster list: 91.0.2.1, 22.0.0.3, 22.0.3.1


Dobrze znane 5617:997 ;)

Pozdrawiam,

Krzysztof Oledzki

--
Krzysztof Olędzki
e-mail address: ole(a-t)ans(d-o-t)pl
Registered User: Linux - 189200, BSD - 51140
Nick Handles: KO60-RIPE, KO581 (Network Solutions)

Michal Jankowski

unread,
Dec 29, 2008, 5:50:22 PM12/29/08
to
Krzysztof Oledzki <o...@a.ns.pl> writes:

> Dobrze znane 5617:997 ;)

I to już wszystko tłumaczy?

Noż kurde, jakoś nie posądzam strony gimpa o pornografię dziecięcą czy
inne przestępstwa.

I nic się już nie daje nawet nie załatwić, ale choćby dowiedzieć
prywatnymi, czy półprywatnymi kanałami, Konrad P. mnie odesłał do
standardowego abuse, a ono chyba do /dev/null...

MJ

Szymon Sokół

unread,
Dec 29, 2008, 6:21:44 PM12/29/08
to
On Mon, 29 Dec 2008 23:50:22 +0100, Michal Jankowski wrote:

> Krzysztof Oledzki <o...@a.ns.pl> writes:
>
>> Dobrze znane 5617:997 ;)
>
> I to już wszystko tłumaczy?
>
> Noż kurde, jakoś nie posądzam strony gimpa o pornografię dziecięcą czy
> inne przestępstwa.

irc.us.gimp.org has address 128.32.112.245
^^^
Teraz jasne? Jeśli nie, to przeczytaj jeszcze
http://bezpieczenstwo.idg.pl/news/329678/TP.nowe.zabezpieczenia.przed.botnetami.html

--
Szymon Sokół (SS316-RIPE) -- Network Manager B
Computer Center, AGH - University of Science and Technology, Cracow, Poland O
http://home.agh.edu.pl/szymon/ PGP key id: RSA: 0x2ABE016B, DSS: 0xF9289982 F
Free speech includes the right not to listen, if not interested -- Heinlein H

Krzysztof Oledzki

unread,
Dec 29, 2008, 6:29:43 PM12/29/08
to
Michal Jankowski <mic...@fuw.edu.pl> wrote:
> Krzysztof Oledzki <o...@a.ns.pl> writes:
>
> > Dobrze znane 5617:997 ;)
>
> I to już wszystko tłumaczy?

Wszystkiego nie, AS PATH (3402) sugeruje jednak, że przyszło to z MAPS-a.
Niestety, http://www.mail-abuse.com/cgi-bin/lookup?ip_address=128.32.112.245
twierdzi iż:

The IP address entered was not found on any database managed by Trend Micro's Network Reputation Services.

Może dla tej usługi jest jakiś inny adres do robienia lookupów?

> Noż kurde, jakoś nie posądzam strony gimpa o pornografię dziecięcą czy
> inne przestępstwa.

;)

Michal Jankowski

unread,
Dec 30, 2008, 3:17:52 AM12/30/08
to
Szymon Sokół <szy...@bastard.operator.from.hell.pl> writes:

>> Noż kurde, jakoś nie posądzam strony gimpa o pornografię dziecięcą czy
>> inne przestępstwa.
>
> irc.us.gimp.org has address 128.32.112.245
> ^^^
> Teraz jasne? Jeśli nie, to przeczytaj jeszcze
> http://bezpieczenstwo.idg.pl/news/329678/TP.nowe.zabezpieczenia.przed.botnetami.html

I TEN KONKRETNY serwer jest kontrolerem jakiegoś botneta?

Czy po prostu TP blokuje wszystko z literami IRC w nazwie, bo tak im
wygodniej?

To czemu, psiakrew, portu 25 nie zablokują?

MJ

Lukasz Trabinski

unread,
Dec 30, 2008, 6:12:23 AM12/30/08
to
In pl.internet.polip Michal Jankowski <mic...@fuw.edu.pl> wrote:

> I TEN KONKRETNY serwer jest kontrolerem jakiegoś botneta?

Widzisz jakieś powody, że miałoby tak nie być?

> Czy po prostu TP blokuje wszystko z literami IRC w nazwie, bo tak im
> wygodniej?

Nie sądzę aby tak było. IRC jest ulubionym medium, choć oczywiście nie jedynym,
do sterowania botnetami.


> To czemu, psiakrew, portu 25 nie zablokują?

No i? Oprócz spamu, są jeszcze inne zagrożenia w sieci. udp/icmp/tcp-fin flood
i wiele innych.

--
ŁT

Jaroslaw Berezowski

unread,
Dec 30, 2008, 11:57:12 AM12/30/08
to
Dnia Sun, 28 Dec 2008 23:11:36 +0100, Michal Jankowski napisał(a):

> Sledzenie trasy do dupe.XCF.Berkeley.EDU [128.32.112.245]
> 1 2 ms 1 ms 3 ms XXXX.internetdsl.tpnet.pl [83.14.xxx.xxx]
> 2 3 ms 2 ms 2 ms YYYY.internetdsl.tpnet.pl [83.14.xxx.xxx]
> 3 50 ms 16 ms 12 ms war-ru5.idsl.tpnet.pl [213.25.2.6]
> 4 * * *
>
> I to juz jest koniec.

<...>
Na razie znowu tez wyciela irc.pl :)

Jaroslaw "Jaros" Berezowski

Jaroslaw Berezowski

unread,
Dec 30, 2008, 11:57:47 AM12/30/08
to
Dnia Tue, 30 Dec 2008 11:12:23 +0000, Lukasz Trabinski napisał(a):

>> To czemu, psiakrew, portu 25 nie zablokują?
>
> No i? Oprócz spamu, są jeszcze inne zagrożenia w sieci. udp/icmp/tcp-fin flood
> i wiele innych.

No i czy to oznacza, ze nie mozna zaczac od 25/tcp?
--
Jaroslaw "Jaros" Berezowski

Szymon Sokół

unread,
Dec 30, 2008, 12:21:25 PM12/30/08
to
On Tue, 30 Dec 2008 09:17:52 +0100, Michal Jankowski wrote:

> I TEN KONKRETNY serwer jest kontrolerem jakiegoś botneta?
>
> Czy po prostu TP blokuje wszystko z literami IRC w nazwie, bo tak im
> wygodniej?

Mam wrażenie, że tak (a ściślej to pewnie nie z literami, tylko słuchające
na porcie 6667 - możesz zrobić eksperyment, wystaw gdzieś ircserver i
zobacz, czy Cię wytną ;->).

Marcin Kulas

unread,
Dec 30, 2008, 12:28:58 PM12/30/08
to
Szymon Sokół wrote:
> On Tue, 30 Dec 2008 09:17:52 +0100, Michal Jankowski wrote:
>
>> I TEN KONKRETNY serwer jest kontrolerem jakiegoś botneta?
>>
>> Czy po prostu TP blokuje wszystko z literami IRC w nazwie, bo tak im
>> wygodniej?
>
> Mam wrażenie, że tak (a ściślej to pewnie nie z literami, tylko słuchające
> na porcie 6667 - możesz zrobić eksperyment, wystaw gdzieś ircserver i
> zobacz, czy Cię wytną ;->).

Na moje oko znowu spięli MAPS (as3402) z blackholingiem.

--
[ Marcin Kulas jid: h...@jabbed.org ]
[ "Bądź uczynny, pomagaj innym - a wtedy wszyscy wokół pomyślą, ]
[ że to co dla nich robisz, jest twoim zasranym obowiązkiem." ]

Michal Jankowski

unread,
Dec 30, 2008, 1:44:12 PM12/30/08
to
Szymon Sokół <szy...@bastard.operator.from.hell.pl> writes:

> Mam wrażenie, że tak (a ściślej to pewnie nie z literami, tylko słuchające
> na porcie 6667 - możesz zrobić eksperyment, wystaw gdzieś ircserver i
> zobacz, czy Cię wytną ;->).

Prawdziwy ircserver czy cokolwiek na tym porcie? Jak blokuja /32 to
wlasciwie moge jakis jeden adres poswiecic...

MJ

Lukasz Trabinski

unread,
Dec 30, 2008, 2:11:52 PM12/30/08
to
In pl.internet.polip Jaroslaw Berezowski <prez...@gov.pl> wrote:
> Dnia Tue, 30 Dec 2008 11:12:23 +0000, Lukasz Trabinski napisał(a):
>
>>> To czemu, psiakrew, portu 25 nie zablokują?
>>
>> No i? Oprócz spamu, są jeszcze inne zagrożenia w sieci. udp/icmp/tcp-fin flood
>> i wiele innych.
> No i czy to oznacza, ze nie mozna zaczac od 25/tcp?

Można, ale niewiele ma to wspólnego z tematem.

--
ŁT

Verox

unread,
Dec 30, 2008, 12:21:56 PM12/30/08
to
On Tue, 30 Dec 2008 09:17:52 +0100, Michal Jankowski napisał:
> Szymon Sokół <szy...@bastard.operator.from.hell.pl> writes:
>
>>> Noż kurde, jakoś nie posądzam strony gimpa o pornografię dziecięcą czy
>>> inne przestępstwa.
>>
>> irc.us.gimp.org has address 128.32.112.245
>> ^^^
>> Teraz jasne? Jeśli nie, to przeczytaj jeszcze
>> http://bezpieczenstwo.idg.pl/news/329678/TP.nowe.zabezpieczenia.przed.botnetami.html
>
> I TEN KONKRETNY serwer jest kontrolerem jakiegoś botneta?

U mnie również na łączu ATM z &FTP dostęp do gimpa jest zablokowany. Już piszę
reklamacje.


--
begin 755 signature.exe
[tomek <at> kalety <dot> net] vy 73! de SP9UOB
Proud to be 100 percent microsoft free. op. Tomek

Lukasz Trabinski

unread,
Dec 30, 2008, 2:17:14 PM12/30/08
to
In pl.internet.polip Michal Jankowski <mic...@fuw.edu.pl> wrote:

No bez jaj. Raczej jest dosyć łatwo namierzalne to, jak ci wszystkie maszyny
(zarażone) z klasy /11 nagle usiłują się komunikowac z jednym /32 i
portem 6667 tegoż. Bardzo dobrze, że coś takiego jest uwalane. Inni, duzi
też powinni. Niektórzy może nawet będą. ;)


--
ŁT

Michal Jankowski

unread,
Dec 30, 2008, 2:25:27 PM12/30/08
to
Lukasz Trabinski <luk...@trabinski.nospam.net> writes:

> No bez jaj. Raczej jest dosyć łatwo namierzalne to, jak ci wszystkie maszyny
> (zarażone) z klasy /11 nagle usiłują się komunikowac z jednym /32 i
> portem 6667 tegoż. Bardzo dobrze, że coś takiego jest uwalane. Inni, duzi

Znaczy - pracujesz w abuse TPSA i wiesz na pewno, ze taki fakt mial
miejsce, czy odpowiadasz na zasadzie "widocznie musialo, skoro
doszlo"?

MJ

Lukasz Trabinski

unread,
Dec 30, 2008, 2:42:23 PM12/30/08
to
In pl.internet.polip Michal Jankowski <mic...@fuw.edu.pl> wrote:

> Znaczy - pracujesz w abuse TPSA i wiesz na pewno, ze taki fakt mial
> miejsce, czy odpowiadasz na zasadzie "widocznie musialo, skoro
> doszlo"?

Nie pracuję w tpsa, ale zdziwiłbym się, gdyby było inaczej, niż napisałem.

--
ŁT

Michal Jankowski

unread,
Dec 30, 2008, 2:50:10 PM12/30/08
to
Lukasz Trabinski <luk...@trabinski.nospam.net> writes:

> Nie pracuję w tpsa, ale zdziwiłbym się, gdyby było inaczej, niż napisałem.

Znaczy nic nie wiesz.

Przypadki blokowania nie tych co trzeba oczywiscie nie sa ci znane.

MJ

Lukasz Trabinski

unread,
Dec 30, 2008, 2:54:49 PM12/30/08
to
In pl.internet.polip Michal Jankowski <mic...@fuw.edu.pl> wrote:

Pomyłki się zdarzają wszędzie...

--
ŁT

Maciej Bebenek

unread,
Dec 30, 2008, 6:28:01 PM12/30/08
to
Lukasz Trabinski wrote:

>>> Nie pracuję w tpsa, ale zdziwiłbym się, gdyby było inaczej, niż napisałem.
>> Znaczy nic nie wiesz.
>>
>> Przypadki blokowania nie tych co trzeba oczywiscie nie sa ci znane.
>
> Pomyłki się zdarzają wszędzie...
>


Są takie firmy,ktore mają wpisane słowo "POMYłKA" w kulturę korporacyjną.
Niektóre z nich maja jeszcze motto: "Chcieliśmy dobrze, a wyszło jak
zwykle".

M.

ru

unread,
Dec 30, 2008, 9:17:11 PM12/30/08
to
On Dec 30, 8:54 pm, Lukasz Trabinski <luk...@trabinski.nospam.net>
wrote:
> Pomyłki się zdarzają wszędzie...
Z całym szacunkiem, ale jeśli przez pomyłkę może ucierpieć jakaś
firma... W moim przypadku portal ma wycięty jeden serwer z nieznanej
mi przyczyny - Agnieszka Buse odesłała mnie na drzewo pisząc tylko, że
"rzeczywiście jest blackhole'owany, jeśli zagrożenie ustanie automat
sam usunie", choć serwer stoi w OVH i co na nim było wcześniej - nie
mam pojęcia. Aktualnie netstat pokazuje tylko połączenia z :80 (to
serwer www), ssh i... to wszystko. Proponuję również zapoznać się z
komentarzem ~r3k63e pod artykułem w di.com.pl (dotyczącym zresztą
samego blackholingu) - http://di.com.pl/komentarze,25017,0,s,2.html -
jak widać jest więcej przypadków dowodzących, iż wprowadzanie czegoś
takiego na siłę jest złym rozwiązaniem. Kolejny przykład to wycięcie
IRCNetu (choć potencjalnie może tam sporo botów być, fakt) - takie
siłowe zmuszanie IRCOpów (bo to chyba o to chodzi?) nic nie da. Jakoś
nie wydaje mi się, by IRCOpi w magiczny sposób za pomocą jednego
pociągnięcia klawiatury nagle mogli rozwiązać cały problem abuse.
Pomijam też drobnostkę, że są zagraniczne hosty, dzięki którym z tą
IRCsiecią można się bezproblemowo połączyć (tak, nawet będąc w
TPNecie), więc jakież to rozwiązanie problemu?
Odcięli dwójkę dzieciaków z botnetami, ale to, że przy okazji
poleciały tysiące (dziesiątki tysięcy) ludzi chcących sobie spokojnie
porozmawiać ze znajomymi... Eeeetam.
A jutro odetniemy polip, bo brzydko na nas piszą. (choć to już temat
na zupełnie inną rozmowę)

Proponowałbym, by dane (IPki) w bazach były solidnie weryfikowane oraz
by była możliwość odwołania się od decyzji. Jak wspomniałem wyżej,
mnie Agnieszka Buse oraz registry@ kompletnie zignorowali.

Szczęśliwego Nowego.

Pozdrawiam,
--
ru

Verox

unread,
Dec 31, 2008, 12:49:44 AM12/31/08
to
On Tue, 30 Dec 2008 17:21:56 +0000 (UTC), Verox napisał:
> On Tue, 30 Dec 2008 09:17:52 +0100, Michal Jankowski napisał:
>> Szymon Sokół <szy...@bastard.operator.from.hell.pl> writes:
>>
>>>> Noż kurde, jakoś nie posądzam strony gimpa o pornografię dziecięcą czy
>>>> inne przestępstwa.
>>>
>>> irc.us.gimp.org has address 128.32.112.245
>>> ^^^
>>> Teraz jasne? Jeśli nie, to przeczytaj jeszcze
>>> http://bezpieczenstwo.idg.pl/news/329678/TP.nowe.zabezpieczenia.przed.botnetami.html
>>
>> I TEN KONKRETNY serwer jest kontrolerem jakiegoś botneta?
>
> U mnie również na łączu ATM z &FTP dostęp do gimpa jest zablokowany. Już piszę
> reklamacje.

Właśnie oddzwoniła pani z 0800 120 811 i powiedziała że problem nie leży w
tpsa, to ją wyśmiałem i powiedziałem że nie przyjmuje tego wytłumaczenia.

--

Marcin Kocur

unread,
Dec 31, 2008, 4:15:48 AM12/31/08
to
Osoba ru napisała na pl.internet.polip:

> Odcięli dwójkę dzieciaków z botnetami, ale to, że przy okazji
> poleciały tysiące (dziesiątki tysięcy) ludzi chcących sobie spokojnie
> porozmawiać ze znajomymi... Eeeetam.
> A jutro odetniemy polip, bo brzydko na nas piszą. (choć to już temat
> na zupełnie inną rozmowę)

Mam rozumieć, że na neostradzie IRC nie działa? ;)

--
Pozdrawiam
Marcin Kocur
http://linux-porady.info - Linux od A do B :]

Michał Górny

unread,
Dec 31, 2008, 6:00:16 AM12/31/08
to
On Tue, 30 Dec 2008 09:17:52 +0100, Michal Jankowski <mic...@fuw.edu.pl> wrote:
>
> To czemu, psiakrew, portu 25 nie zablokują?
>

Może po prostu jeszcze nie wpadli, jak pojedyncze porty blokuje się? < ;. Wszystko kwestia czasu.

Nie zdziw się, jak pewnego dnia pozostanie Gadu-Gadu & HTTP (oczywiście filtrowane).

--
Z poważaniem,
Michał Górny

<http://mailnull.com/w?au=f6744c6f5e097cc9816a562802f331c2>
<xmpp:mgo...@jabster.pl>

Wojtek /aquaz/ Dziubiński

unread,
Dec 31, 2008, 6:25:57 AM12/31/08
to
Dnia Tue, 30 Dec 2008 17:57:12 +0100, Jaroslaw Berezowski napisał(a):

> <...>
> Na razie znowu tez wyciela irc.pl :)

Wiadomo może kiedy te wygłupy się skończą?
Odnoszę wrażenie, że firma której jestem klientem ma mnie za debila. Sam
wyblokuję co uważam za stosowne - nie potrzebuję do tego pomocy ze strony
tp.

Nie uważam się za eksperta w dziedzinach bezpieczeństwa, ale nie życzę
sobie takich odgórnych regulacji - sam o to zadbam.

Czy można to w jakiś sposób reklamować? Obawiam się, że jako użytkownik
iDSL mam niewiele do powiedzenia, ale może użytkownicy czegoś grubszego już
tak.

Jaka szkoda, że wszyscy ISP dookoła odsyłają mnie z BMT... (wieś głęboka)

--
Wojciech \aquaz\ Dziubiński

Dylon

unread,
Dec 31, 2008, 6:40:04 AM12/31/08
to
Dnia Wed, 31 Dec 2008 12:25:57 +0100, Wojtek /aquaz/ Dziubiński
napisał(a):

> Czy można to w jakiś sposób reklamować? Obawiam się, że jako użytkownik

Moze sproboj z tytulu niedotrzymania warunkow umowy?
Smiem podejrzewac, ze w umowie nie masz zapisu o Twojej zgodzie na
blokady ze strony tp...

--
Maciej Dylski
adres: szukaj w naglowku
"[...] I kto wie... moze kiedys znajdziemy zastosowania dla komputera z
taktowanym zegarem 50 MHz procesorem centralnym? [...]"

robert

unread,
Dec 31, 2008, 6:42:07 AM12/31/08
to
On Wed, 31 Dec 2008 11:40:04 +0000 (UTC), Dylon wrote:

>> Czy można to w jakiś sposób reklamować? Obawiam się, że jako użytkownik
>
> Moze sproboj z tytulu niedotrzymania warunkow umowy?
> Smiem podejrzewac, ze w umowie nie masz zapisu o Twojej zgodzie na
> blokady ze strony tp...

a gdzies w umowie jest zapis, ze daja dostep do wszystkich zasobow ?

-j.

Wojtek /aquaz/ Dziubiński

unread,
Dec 31, 2008, 7:34:13 AM12/31/08
to
Dnia Wed, 31 Dec 2008 11:42:07 +0000 (UTC), robert napisał(a):
>>> Czy można to w jakiś sposób reklamować? Obawiam się, że jako użytkownik
>> Moze sproboj z tytulu niedotrzymania warunkow umowy?
> a gdzies w umowie jest zapis, ze daja dostep do wszystkich zasobow ?

No właśnie obawiam się, że mogą się zasłonić jakimś regulaminem (jak to
zresztą jest objaśnione na ich stronie w związku z tą blokadą).
Tylko nie wiem czy równie dobrze mogliby zablokować w ogóle dostęp do
wszystkich zasobów stwierdzając, że przecież cały internet jest
potencjalnym zagrożeniem (co swoją drogą zupełnie bezpodstawne nie jest ;)
)
Dostęp do routera brzegowego jest? Jest. Dowidzenia.

--
Wojciech \aquaz\ Dziubiński

Lukasz Trabinski

unread,
Dec 31, 2008, 8:33:25 AM12/31/08
to
In pl.internet.polip ru <toru...@gmail.com> wrote:

> Odcięli dwójkę dzieciaków z botnetami, ale to, że przy okazji
> poleciały tysiące (dziesiątki tysięcy) ludzi chcących sobie spokojnie
> porozmawiać ze znajomymi... Eeeetam.

Widzisz, z tym, że zapewne, że nie jest to dwójka dzieciaków z botnetem,
tylko tysiące, jeśli nie miliony zarażonych maszyn, które dzięki jednemu
lub kilku irc serwerów, nad którymi nie ma specjalnej opieki, są wstanie
wykonać zmasowany atak, przed którym raczej nie ma możliwości obrony.
Jak taki atak wygląda i jak niespecjalnie można się przed tym bronic,
to już zupełnie inna bajka. W sumie, punkt widzenia, zależy od punktu
siedzenia, a w tym wypadku i doświadczenia.

Wszystkiego dobrego w Nowym Roku.

--
ŁT

ru

unread,
Dec 31, 2008, 8:47:59 AM12/31/08
to
On Dec 31, 2:33 pm, Lukasz Trabinski <luk...@trabinski.nospam.net>
wrote:

> Widzisz, z tym, że zapewne, że nie jest to dwójka dzieciaków z botnetem,
> tylko tysiące, jeśli nie miliony zarażonych maszyn,
(...)
Tak, ale właścicielami jest dwójka dzieciaków z botnetem. ;-)
... ale nie o tym chciałem pisać. Czy więc uważasz, że liczba osób
odciętych niesłusznie jest znacząco mniejsza od liczby osób odciętych,
no, słusznie? (Bo tylko w tym przypadku zabezpieczenie to miałoby
jakikolwiek sens, prawda?)
Póki co, spotkałem się raczej z tymi pierwszymi, czyli ci drudzy albo
siedzą cicho i liżą rany, albo po prostu jest ich mniej. Tego
stwierdzić nie potrafię.

Nieistotne - w dalszym ciągu uważam, że IPki powinny być szczegółowo
weryfikowane (a nie zabawa w statki - pudło, pudło, trafiony
zatopiony...), tudzież powinna być możliwość odwołania się (jeśli ktoś
ma takie szczęście, że go abuse/registry nie ignorują - zazdroszczę).

Pozdrawiam,
--
ru

bo...@nano.pl

unread,
Dec 31, 2008, 8:54:38 AM12/31/08
to
ru napisał(a):

Wiesz, TP od dawna dąży do tego, żeby być intranetem. To tylko kolejny krok w tym kierunku.

wer

Szymon Sokół

unread,
Dec 31, 2008, 9:07:09 AM12/31/08
to

I Ty naprawdę wierzysz, że to np. wspomniany irc.us.gimp.org albo serwery w
irc.pl są właśnie tymi serwerami, które służą za kontrolery botnetów, czy
tylko tak po prostu napisałeś to powyżej, bo to akurat Cię osobiście boli, a
związek z tematem wątku nie jest istotny?

Bo jeśli to pierwsze to mylisz się bardzo grubo - np. krakow.irc.pl, który
nb. stoi u mnie w serwerowni, ma przeciętnie trochę ponad tysiąc
użytkowników, i na jakieś wielotysięczne botnety (o milionowych nie mówiąc)
nie ma tu po prostu miejsca - próba podłączenia się drugiego tysiąca
klientów (zombie) zostałaby natychmiast zauważona. Kontrolery botnetów to
nie są "legalne" serwery IRC wykorzystywane ubocznie przez black hats, to są
dedykowane serwery IRC przez nich samych postawione i prowadzone specjalnie
w celu zarządzania botnetami.

Dodam, że ja osobiście nie mam nic przeciwko temu, że TP wycięła własnym
klientom dostęp do IRC ;-> ale czasem jednak się wykazuję empatią, ot tak z
okazji okresu świątecznego, i muszę się zgodzić z cytatem, który został tam
u samej góry.

Lukasz Trabinski

unread,
Dec 31, 2008, 9:11:10 AM12/31/08
to
In pl.internet.polip ru <toru...@gmail.com> wrote:

> ... ale nie o tym chciałem pisać. Czy więc uważasz, że liczba osób
> odciętych niesłusznie jest znacząco mniejsza od liczby osób odciętych,
> no, słusznie? (Bo tylko w tym przypadku zabezpieczenie to miałoby
> jakikolwiek sens, prawda?)

Myślę, że potencjalne straty mogą być mniejsze.

> Nieistotne - w dalszym ciągu uważam, że IPki powinny być szczegółowo
> weryfikowane (a nie zabawa w statki - pudło, pudło, trafiony
> zatopiony...), tudzież powinna być możliwość odwołania się (jeśli ktoś
> ma takie szczęście, że go abuse/registry nie ignorują - zazdroszczę).

Zgadzam się. Weryfikacja powinna być dokonywana i tak jak napisałem wcześniej,
technicznie jest raczej dosyć łatwo to weryfikowalne. Proceduralnie - to
każdy kto pracował w korporacji - wie jak to wygląda. ;)

--
ŁT

Lukasz Trabinski

unread,
Dec 31, 2008, 9:20:46 AM12/31/08
to
In pl.internet.polip Szymon Sokół <szy...@bastard.operator.from.hell.pl> wrote:

> I Ty naprawdę wierzysz, że to np. wspomniany irc.us.gimp.org albo serwery w
> irc.pl są właśnie tymi serwerami, które służą za kontrolery botnetów, czy
> tylko tak po prostu napisałeś to powyżej, bo to akurat Cię osobiście boli, a
> związek z tematem wątku nie jest istotny?

Czy są w tej chwili, tego akurat nie wiem, bo nie mam dostępu, do tego
typu danych. Wiem natomiast ze 100% pewnością, że były, gdyż byłem bezpośrednio
swego czasu zaangażowany w likiwidowanie skutków, jak również namierzanie
tego typu tworów. Niekoniecznie chodziło o PL-IRCNET, bo ten akurat mam
prawo wierzyć, że jest "dopieszczany". ;)

--
ŁT

ru

unread,
Dec 31, 2008, 9:23:17 AM12/31/08
to
On Dec 31, 3:11 pm, Lukasz Trabinski <luk...@trabinski.nospam.net>
wrote:

> Myślę, że potencjalne straty mogą być mniejsze.
Powiedz to mojemu klientowi, który został odcięty od źródła
dochodów. ;-)
Najlepiej IRL, choć z odpowiedniej odległości i najlepiej przez
pancerną szybę, by móc spokojnie obserwować jego reakcję i minę bez
gróźb uszczerbku na zdrowiu własnym, ;-)
A wiem, że takich przypadków jest więcej.

> Zgadzam się. Weryfikacja powinna być dokonywana i tak jak napisałem wcześniej,
> technicznie jest raczej dosyć łatwo to weryfikowalne. Proceduralnie - to
> każdy kto pracował w korporacji - wie jak to wygląda. ;)

No i tu jest pies pogrzebany - nie należy się brać za coś, czego nie
potrafimy zrobić porządnie i porządnie tym zarządzać. Czyli -
wprowadzać to rozwiązanie, i owszem (osobiście nie mogę się
powstrzymać od uśmiechu na myśl o wcześniej wspomnianych
dzieciaczkach, którym odebrano zabawkę - sam byłem celem DDoSu kilka
tygodni temu) - ale dopiero wtedy, gdy mamy pewność, że będzie
skuteczne *przeciwko abuserom*, nie całej reszcie. ;-) Jeszcze tylko
warto wspomnieć o tym, *w jaki sposób* "usługa" została wprowadzona -
cichaczem. Dlaczego?

Dochodzi 16, jeszcze nie pijecie?! :->

Raz jeszcze szczęśliwego i przewidywalnego/spokojnego, a dla TPSA -
rozsądku.

Pozdrawiam,
--
ru

ru

unread,
Dec 31, 2008, 9:25:33 AM12/31/08
to
On Dec 31, 3:20 pm, Lukasz Trabinski <luk...@trabinski.nospam.net>
wrote:

> Czy są w tej chwili, tego akurat nie wiem, bo nie mam dostępu
NIEMOŻLIWE!

Wybacz, nie mogłem się powstrzymać. ;-)
--
ru

Lukasz Trabinski

unread,
Dec 31, 2008, 9:29:09 AM12/31/08
to
In pl.internet.polip ru <toru...@gmail.com> wrote:
> tygodni temu) - ale dopiero wtedy, gdy mamy pewność, że będzie
> skuteczne *przeciwko abuserom*, nie całej reszcie. ;-) Jeszcze tylko
> warto wspomnieć o tym, *w jaki sposób* "usługa" została wprowadzona -
> cichaczem. Dlaczego?

Mogę się zgodzić, że można inaczej technicznie pewne kwestie rozwiązywać,
mnie natomiast chodziło o próbę odpowiedzi, czemu tak się w ogóle stało.

>
> Dochodzi 16, jeszcze nie pijecie?! :->

Kawówka o powlającej mocy i ciechan miodowy już czeka w gotowości. ;)

--
ŁT

Michal Jankowski

unread,
Dec 31, 2008, 10:09:58 AM12/31/08
to
Lukasz Trabinski <luk...@trabinski.nospam.net> writes:

> lub kilku irc serwerów, nad którymi nie ma specjalnej opieki, są wstanie

A jak usiądzie? 8-)

MJ

Michal Jankowski

unread,
Dec 31, 2008, 10:12:58 AM12/31/08
to
Lukasz Trabinski <luk...@trabinski.nospam.net> writes:

>> I Ty naprawdę wierzysz, że to np. wspomniany irc.us.gimp.org albo serwery w
>> irc.pl są właśnie tymi serwerami, które służą za kontrolery botnetów, czy
>> tylko tak po prostu napisałeś to powyżej, bo to akurat Cię osobiście boli, a
>> związek z tematem wątku nie jest istotny?
>
> Czy są w tej chwili, tego akurat nie wiem, bo nie mam dostępu, do tego
> typu danych. Wiem natomiast ze 100% pewnością, że były, gdyż byłem bezpośrednio
> swego czasu zaangażowany w likiwidowanie skutków, jak również namierzanie
> tego typu tworów. Niekoniecznie chodziło o PL-IRCNET, bo ten akurat mam
> prawo wierzyć, że jest "dopieszczany". ;)

Niebezpiecznie zblizasz sie do splonkowania.

Ze 100% pewnoscia wiesz, ze byly, ale niekoniecznie chodzilo o te
same.

Zastanow sie chwile, co mowisz.

MJ

xbartx

unread,
Dec 31, 2008, 1:28:16 PM12/31/08
to
Dnia Wed, 31 Dec 2008 06:23:17 -0800, ru napisał(a):

> No i tu jest pies pogrzebany - nie należy się brać za coś, czego nie
> potrafimy zrobić porządnie i porządnie tym zarządzać.

Zobacz na chociażby to:
http://preview.tinyurl.com/76lzue

Jak widzisz sieć TP jest 4 w rankingu a były czasy, że dzierżyła,
zupełnie niezagrożona, pierwszą pozycję. I teraz pomyśl ile musi być tych
MTA w sieci &tp, że tyle maili dziennie generują - toż to prawdziwa
fabryka ;)
Cóż nasuwa się tutaj powiedzenie "Gdzie drwa rąbią tam wióry lecą". IMO
&tp ma taki wolumen klientów, że czego by nie zrobili, to zawsze znajdzie
się masa niezadowolonych. Musimy mieć tylko nadzieję, że dopracują
procedury i będzie w miarę znośnie.

PS Może spróbuj coś powalczyć w ichnim CERTcie

--
xbartx - Xperimental Biomechanical Android Responsible for Thorough
Xenocide

Krzysztof Halasa

unread,
Dec 31, 2008, 2:34:02 PM12/31/08
to
Lukasz Trabinski <luk...@trabinski.nospam.net> writes:

> No bez jaj. Raczej jest dosyć łatwo namierzalne to, jak ci wszystkie maszyny
> (zarażone) z klasy /11 nagle usiłują się komunikowac z jednym /32 i
> portem 6667 tegoż.

Moment, problem jest z zarazonymi maszynami czy z tym /32? Jesli /32
jest niewinny to moze nalezaloby wyciac tych zarazonych?

Tyle ze zarazeni sa klientami, no jasne, klientow nie wypada.
--
Krzysztof Halasa

Paweł Tyll

unread,
Dec 31, 2008, 9:05:09 PM12/31/08
to
On Wed, 31 Dec 2008 14:33:25 +0100, Lukasz Trabinski
<luk...@trabinski.nospam.net> wrote:
> W sumie, punkt widzenia, zależy od punktu siedzenia
Punkt widzenia jest taki, że komunikacja botnetów zostanie zmodernizowana
o jakiś SSL i wszystko wróci do normy. Może jeszcze jakiś protokół P2P
zostanie zapożyczony do wyeliminowania centralnego punktu. Niezależnie od
powyższych oczywiście takie praktyki spowodują, że botów ubędzie...w
fantazjach zrodzonych w czyjejś naiwnej głowie. Będzie łatwiej tcpdumpować
szyfrowane połączenia między dwoma botami, niż nieszyfrowane połączenia
między botem a serwerem IRC. Zamiast wykorzystać czyjąś głupotę, że
zdecydował się botnety opierać o IRC i usunąć tę osobę ze społeczeństwa,
daje jej się jasny sygnał, że to nie był dobry pomysł i trzeba to zmienić.
Fajne.

> a w tym wypadku i doświadczenia.

Tak, wyraźnie ktoś nie ma doświadczenia. Nie potrafi też się uczyć na
cudzych błędach. Oprogramowanie P2P ma imponującą ilość funkcji
zabezpieczających tylko i wyłącznie przed ograniczaniem/filtrowaniem
połączeń przez różnych ISP - wszelkie próby ograniczania tego co można
robić z łączem z Internetem (które nie jest łączem do tego co akurat
operatorowi pasuje, jak niektórym się tutaj wydaje, tylko łączem z
Internetem) prowadzą tylko do obejścia tych pomysłów, i zabezpieczenia się
przed takimi próbami w przyszłości. Ciekawe komu najbardziej przypasuje
stan rzeczy, gdy każdy pakiet wychodzący z komputera będzie routowany
przez 2 inne losowe komputery, a wcześniej szyfrowany end-to-end. Będzie
się wtedy fajnie wycinać różne /32 oraz wychwytywać w takiej sieczce
pakiety odpowiedzialne akurat za komendy dla bota. Ale może to i lepiej...

Zamiast odcinać /32 do których łączą się boty, lepiej odcinać /32 z
których łączą się boty i interweniować u właściciela komputera, skoro już
za trudne jest podejście indywidualne do wspomnianych dwóch dzieciaków i
namierzenie skąd się łączą ci komendodawcy. Wątpię, żeby to były więcej
niż dwie-trzy zahackowane maszyny po drodze. Ale spoko, sami do tego dojdą
mędrcy od filtrów, bo tylko to im zostanie po takich akcjach - w końcu
nikt nie porzuci łatwo zajęcia, które przynosi im pieniądze; zaczną je
zwyczajnie wykonywać lepiej, skoro prościej przestało już wystarczać.

(Jeszcze proponuję tak samo zacząć walczyć ze spamem - odcinać adresatów)

Paweł Tyll

unread,
Dec 31, 2008, 9:08:38 PM12/31/08
to
On Wed, 31 Dec 2008 14:47:59 +0100, ru <toru...@gmail.com> wrote:
> Póki co, spotkałem się raczej z tymi pierwszymi, czyli ci drudzy albo
> siedzą cicho i liżą rany, albo po prostu jest ich mniej.
Jest ich zdecydowanie mniej, bo IRC jest już raczej niszowym protokołem.
Nie jest to w żadnym wypadku uzasadnienie, by wycinać serwery IRC, bo ktoś
ich używa do wydawania komend botom. Zresztą jest to na dłuższą metę
bezcelowe i skończy się tylko przedwczesną eutanazją IRC oraz ewolucją
botnetów.

Krzysztof Halasa

unread,
Dec 31, 2008, 9:31:53 PM12/31/08
to
Paweł Tyll <p...@wytnij.75.pl> writes:

> Zamiast odcinać /32 do których łączą się boty, lepiej odcinać /32 z
> których łączą się boty i interweniować u właściciela komputera, skoro
> już za trudne jest podejście indywidualne do wspomnianych dwóch
> dzieciaków i namierzenie skąd się łączą ci komendodawcy. Wątpię, żeby
> to były więcej niż dwie-trzy zahackowane maszyny po drodze. Ale
> spoko, sami do tego dojdą mędrcy od filtrów, bo tylko to im zostanie
> po takich akcjach - w końcu nikt nie porzuci łatwo zajęcia, które
> przynosi im pieniądze; zaczną je zwyczajnie wykonywać lepiej, skoro
> prościej przestało już wystarczać.
>
> (Jeszcze proponuję tak samo zacząć walczyć ze spamem - odcinać adresatów)

Przeciez wiadomo ze kwestie spamu z neostrad TPSA moze zalatwic
w mgnieniu oka - wystarczy odfiltrowac wychodzace tcp/25 (dokladnie
tak samo jak robia to z portami "windowsowymi").

Widocznie to nie o to chodzi. Watpie czy dla TPSA spam lub walka z nim
ma jakiekolwiek znaczenie.
--
Krzysztof Halasa

Paweł Tyll

unread,
Dec 31, 2008, 9:38:50 PM12/31/08
to
On Thu, 01 Jan 2009 03:31:53 +0100, Krzysztof Halasa <k...@pm.waw.pl> wrote:
> Przeciez wiadomo ze kwestie spamu z neostrad TPSA moze zalatwic
> w mgnieniu oka - wystarczy odfiltrowac wychodzace tcp/25 (dokladnie
> tak samo jak robia to z portami "windowsowymi").
Porty windowsowe nie mają praktycznie żadnego sensownego zastosowania.
Port 25 jak najbardziej. W makroskali trudno jest rozsądnie wyciąć port 25
(czyli ograniczyć do 5 różnych IP w skali 24 godzin).

> Widocznie to nie o to chodzi. Watpie czy dla TPSA spam lub walka z nim
> ma jakiekolwiek znaczenie.

Na pewno ma, ale nieobsługiwanie tysięcy zgłoszeń o treści 'port 25 mi nie
działa' ma widać większe ;)

RoMan Mandziejewicz

unread,
Jan 1, 2009, 5:09:37 AM1/1/09
to
Hello Krzysztof,

Thursday, January 1, 2009, 3:31:53 AM, you wrote:

[...]

> Przeciez wiadomo ze kwestie spamu z neostrad TPSA moze zalatwic
> w mgnieniu oka - wystarczy odfiltrowac wychodzace tcp/25 (dokladnie
> tak samo jak robia to z portami "windowsowymi").

Bym chyba jaja urwał operatorowi za odcięcie mi portu 25 bez mojej
zgody. Poza dziećmi neostrady z tej usługi korzystają normalni
użytkownicy, korzystający z normalnych programów pocztowych.

[...]

--
Best regards,
RoMan mailto:ro...@pik-net.pl

Jacek Zapala

unread,
Jan 1, 2009, 5:27:21 AM1/1/09
to
On Thu, 2009-01-01 at 11:09 +0100, RoMan Mandziejewicz wrote:
> Hello Krzysztof,
>
> Thursday, January 1, 2009, 3:31:53 AM, you wrote:
>
> [...]
>
> > Przeciez wiadomo ze kwestie spamu z neostrad TPSA moze zalatwic
> > w mgnieniu oka - wystarczy odfiltrowac wychodzace tcp/25 (dokladnie
> > tak samo jak robia to z portami "windowsowymi").
>
> Bym chyba jaja urwał operatorowi za odcięcie mi portu 25 bez mojej
> zgody. Poza dziećmi neostrady z tej usługi korzystają normalni
> użytkownicy, korzystający z normalnych programów pocztowych.

Ale robisz to świadomie, więc możesz zadziałać i użyć portu 587 do
nadawania poczty (dostęp wyłącznie po uwierzytelnieniu) lub powiedzieć
operatorowi "wiem co robię i możecie mi urywać jaja jeśli zacznę
rozsyłać spam, a teraz zdejmijcie mi filtr" - oczywiście wszystko
automatycznie (po dodaniu czegoś do loginu ppp, kliknięciu w jakiś panel
itp).
I problemu nie ma - Tobie działa, dzieci neostrady spamu nie rozsyłają.

Jacek


Marcin Kocur

unread,
Jan 1, 2009, 5:50:25 AM1/1/09
to
Osoba Jacek Zapala napisała na pl.internet.polip:

> powiedzieć
> operatorowi "wiem co robię i możecie mi urywać jaja jeśli zacznę
> rozsyłać spam, a teraz zdejmijcie mi filtr" - oczywiście wszystko
> automatycznie (po dodaniu czegoś do loginu ppp, kliknięciu w jakiś
> panel itp).
> I problemu nie ma - Tobie działa, dzieci neostrady spamu nie
> rozsyłają.

To wszystko staje na głowie. Dostęp do Internetu ma być domyślnie
dostępem do Internetu, a nie do HTTP i gg jak ktoś już powiedział. Jak
ktoś sobie chce zablokować w panelu "niebezpieczne" porty to sobie tak
może zrobić, ale to ma być opcja.

Ciekawe że w multimo dzwonią do klientów rozsyłających spam i nie ma
żadnych kretyńskich blokad.

Na radiówce za to był natychmiastowy automatyczny ban na Internet i
informacja w przeglądarce.

Tylko tepsa ma użytkowników za idiotów.

RoMan Mandziejewicz

unread,
Jan 1, 2009, 7:11:31 AM1/1/09
to
Hello Jacek,

Thursday, January 1, 2009, 11:27:21 AM, you wrote:

>>> Przeciez wiadomo ze kwestie spamu z neostrad TPSA moze zalatwic
>>> w mgnieniu oka - wystarczy odfiltrowac wychodzace tcp/25 (dokladnie
>>> tak samo jak robia to z portami "windowsowymi").
>> Bym chyba jaja urwał operatorowi za odcięcie mi portu 25 bez mojej
>> zgody. Poza dziećmi neostrady z tej usługi korzystają normalni
>> użytkownicy, korzystający z normalnych programów pocztowych.
> Ale robisz to świadomie, więc możesz zadziałać i użyć portu 587 do

Ale dlaczego mam "zadziałać" i kombinować jak koń pod górę? Mam
ochotę/p[otrzebę użycia portu 25 do wysyłania poczty, to tego portu
używam. To standardowy port.

> nadawania poczty (dostęp wyłącznie po uwierzytelnieniu) lub powiedzieć
> operatorowi "wiem co robię i możecie mi urywać jaja jeśli zacznę
> rozsyłać spam, a teraz zdejmijcie mi filtr"

Nie - to operator ma obowiązek się mnie grzecznie zapytać, czy sobie
życzę blokady portu. To on jest dla mnie a nie ja dla niego.

Szymon Sokół

unread,
Jan 1, 2009, 7:28:04 AM1/1/09
to
On Thu, 1 Jan 2009 13:11:31 +0100, RoMan Mandziejewicz wrote:

> Ale dlaczego mam "zadziałać" i kombinować jak koń pod górę? Mam
> ochotę/p[otrzebę użycia portu 25 do wysyłania poczty, to tego portu
> używam. To standardowy port.

Mam ochotę nie używać pasów bezpieczeństwa, to nie używam?
Ja tam uważam, że blokowanie wyjścia na port 25 z adresów dynamicznych
byłoby całkiem sensowne (dotyczy to nie tylko TP, ale także innych ISP).
A model funkcjonowania SMTP (praktycznie bez rozróżnienia komunikacji
serwer-serwer i klient-serwer) już dawno stał się przestarzały.

RoMan Mandziejewicz

unread,
Jan 1, 2009, 7:45:14 AM1/1/09
to
Hello Szymon,

Thursday, January 1, 2009, 1:28:04 PM, you wrote:

>> Ale dlaczego mam "zadziałać" i kombinować jak koń pod górę? Mam

>> ochotę/potrzebę użycia portu 25 do wysyłania poczty, to tego portu


>> używam. To standardowy port.
> Mam ochotę nie używać pasów bezpieczeństwa, to nie używam?

Absurdalne porównanie - to nie otwarty port jest problemem ale system
operacyjny, który jest tak podatny na zawirusowanie oraz pootwierane
serwery, które rozsyłaniu spamu sprzyjają.

> Ja tam uważam, że blokowanie wyjścia na port 25 z adresów dynamicznych
> byłoby całkiem sensowne (dotyczy to nie tylko TP, ale także innych ISP).
> A model funkcjonowania SMTP (praktycznie bez rozróżnienia komunikacji
> serwer-serwer i klient-serwer) już dawno stał się przestarzały.

FTP i telnet też są przestarzałe - żądasz blokady portów z tego
powodu?

Dopóki oprogramowanie nadal powszechnie tych portów używa - ich
blokada _bez_ _zgody_ użytkownika jest absurdem.

Jacek Zapala

unread,
Jan 1, 2009, 7:59:06 AM1/1/09
to
On Thu, 2009-01-01 at 13:45 +0100, RoMan Mandziejewicz wrote:
> Absurdalne porównanie - to nie otwarty port jest problemem ale system
> operacyjny, który jest tak podatny na zawirusowanie oraz pootwierane
> serwery, które rozsyłaniu spamu sprzyjają.

A możesz rozwinąć o tych otwartch serwerach co sprzyjają? Oczywiście w
kontekście słania spamu przez typowego zombie do docelowych serwerów.

Jacek


Łukasz Bromirski

unread,
Jan 1, 2009, 8:46:55 AM1/1/09
to
On 2009-01-01 03:05, Paweł Tyll wrote:
> On Wed, 31 Dec 2008 14:33:25 +0100, Lukasz Trabinski
> <luk...@trabinski.nospam.net> wrote:
>> W sumie, punkt widzenia, zależy od punktu siedzenia
> Punkt widzenia jest taki, że komunikacja botnetów zostanie
> zmodernizowana o jakiś SSL i wszystko wróci do normy. Może jeszcze
> jakiś protokół P2P zostanie zapożyczony do wyeliminowania centralnego
> punktu.

Ale tak już jest. To że duża część botnetów nadal używa serwerów
IRC na własny użytek wynika tylko z ogólnej dostępności gotowego
do skompilowania kodu.

Te botnety które są tworzone przez typowe organizacje przestępcze
przeszły już jakiś czas temu na sesje szyfrowane bez punktu
centralnego.

Z ciekawostek - kupując 'usługę' skorzystania z botnetu dostaje się
płytkę CD (lub ISO tejże) z zestawem jednorazowych kodów do
aktywowania/zatrzymania ataku. Kody mogą zostać unieważnione przez
sprzedającego. Itd. itp. To nie jest już zabawa w 'zablokujmy IP'.
A źle wpisany kod kończy się ostrzegawczym DDoSem IP z którego
kod próbowano wpisać.

> Niezależnie od powyższych oczywiście takie praktyki spowodują, że
> botów ubędzie...w fantazjach zrodzonych w czyjejś naiwnej głowie.

Uważam że lepiej że coś w ogóle robią niż mieliby nie robić nic - należy
oddać TP (Konradowi?) wielki szacun za to, że w takiej organizacji jak
TP chciało mu się wykłócać z poszczególnymi szczeblami decyzyjnymi o
zgodę, pisać regulaminy/etc.

To że 'chcieliśmy dobrze, wyszło jak zawsze' jest już pewnie
nieodłączną cechą tej organizacji (choć chciałbym się mylić). Miliony
użytkowników, ale call center nie ma pojęcia jak działa i co powoduje
ten nowy mechanizm bezpieczeństwa - sprzedaż masowa.

> Zamiast odcinać /32 do których łączą się boty, lepiej odcinać /32
> z których łączą się boty

Po pierwsze, skąd wiesz że to bot? Skoro sesja jest na 80/tcp lub
587/tcp szyfrowana SSLem, albo na 22/tcp w tunelu SSH, albo na
4662/tcp? Albo na paruset innych portach "powszechnie używanych"?
Trzeba mieć jakąś metodę identyfikacji ruchu od klientów - czego,
według mojej najlepszej wiedzy TP nie ma.

Po drugie, w skali operatora utrzymanie w FIBach wszystkich routerów
paruset tysięcy /32'ek jest miłe jeśli jesteś akademickim badaczem,
być może jest też smutną przyszłością - ale na razie się po prostu
nie dzieje. Prościej zatem blokować teoretycznie łatwo identyfikowalne
źródła botnetów, czyli ich punkty kontaktowe (serwery IRC, cokolwiek),
niż klientów.

Żeby zrobić to dobrze - nie odcinając portu 25/tcp i nie robiąc innych
fatalnych głupot - trzeba to zrobić porządnie. Mówiłem o tym na swojej
sesji na Cisco Expo, opierając się w głównej mierze na praktycznych
doświadczeniach ludzi walczących z takimi rzeczami codziennie w
sieciach AT&T, Sprintu itp. Ale taka 'praca u podstaw' jak widać
po pierwsze musi trwać latami, a po drugie - często traktowana jest
jako marketing vendora ('bo my przecież i tak wiemy lepiej jak to się
robi'). No i skutki widać.

--
"Don't expect me to cry for all the | Łukasz Bromirski
reasons you had to die" -- Kurt Cobain | http://lukasz.bromirski.net

Michał Kurowski

unread,
Jan 1, 2009, 9:26:12 AM1/1/09
to

>>> Ale dlaczego mam "zadziałać" i kombinować jak koń pod górę? Mam
>>> ochotę/potrzebę użycia portu 25 do wysyłania poczty, to tego portu
>>> używam. To standardowy port.
>> Mam ochotę nie używać pasów bezpieczeństwa, to nie używam?
>
> Absurdalne porównanie

Absurdalnie niski jest poziom Twojej wiedzy.
Port 25 od lat nie jest "standartowy".
Tylko tpsa i Ty w to wierzycie.


--
Michał


Paweł Tyll

unread,
Jan 1, 2009, 9:32:02 AM1/1/09
to
On Thu, 01 Jan 2009 14:46:55 +0100, Łukasz Bromirski <to...@127.0.0.1>
wrote:

> Ale tak już jest. To że duża część botnetów nadal używa serwerów
> IRC na własny użytek wynika tylko z ogólnej dostępności gotowego
> do skompilowania kodu.
No to po takich zabiegach proporcje się obrócą, a szansa relatywnie
prostego pojmania mniej zdolnych przestępców odpłynie razem z serwerami
IRC. Dobry plan.

> Uważam że lepiej że coś w ogóle robią niż mieliby nie robić nic - należy
> oddać TP (Konradowi?) wielki szacun za to, że w takiej organizacji jak
> TP chciało mu się wykłócać z poszczególnymi szczeblami decyzyjnymi o
> zgodę, pisać regulaminy/etc.

Bez jaj; to nie jest robienie czegokolwiek, tylko tracenie czasu i zasobów
na tradycyjne leczenie skutków bez nawet muśnięcia przyczyn. Pomijam już
mierzenie tego "czegokolwiek" centralnie w użytkowników, którzy nadal mają
nieświadomie syfa na komputerze. Polskie serwery IRC? No come on... Toż to
siedlisko botów... Wyleciało w jednej chwili 9 czy 10 "botów" z kanału, na
którym rozmawia sobie 70 osób. To jest jedyny długofalowy skutek tej
akcji. (I tak miło, że tylko 9-10, kiedyś drzewiej byłoby to 40-50 sesji
zapewne). Przy okazji jeszcze paru niewinnym się dostało i obroty
wynikające z ich www spadły o neostradę.

> Po pierwsze, skąd wiesz że to bot? Skoro sesja jest na 80/tcp lub
> 587/tcp szyfrowana SSLem, albo na 22/tcp w tunelu SSH, albo na
> 4662/tcp? Albo na paruset innych portach "powszechnie używanych"?
> Trzeba mieć jakąś metodę identyfikacji ruchu od klientów - czego,
> według mojej najlepszej wiedzy TP nie ma.

Za to ma metodę identyfikacji, gdzie łączą się boty, żeby to wyciąć? To
chyba powinno działać w obu kierunkach. No chyba że ktoś inny ma metodę
(wielce niedoskonałą, jak widać na załączonym obrazku), a TP się pod nią
podpięła. Cóż, prasówka mówiła co innego ;>

> Po drugie, w skali operatora utrzymanie w FIBach wszystkich routerów
> paruset tysięcy /32'ek jest miłe jeśli jesteś akademickim badaczem,
> być może jest też smutną przyszłością - ale na razie się po prostu
> nie dzieje. Prościej zatem blokować teoretycznie łatwo identyfikowalne
> źródła botnetów, czyli ich punkty kontaktowe (serwery IRC, cokolwiek),
> niż klientów.

Ależ ja mam świadomość tego, że to jest prostsze. I do tego właśnie piję,
że robi się proste, zamiast dobre. Po co to robić, żeby ładnie w
biuletynie wyglądało? Wycięliśmy dostęp do IRC, bo IRC to usługa do abuse
i nikt z niej normalny nie korzysta? OK... Boli tylko to, że osoby
odpowiedzialne za egzekucję tegoż miały pewnie świadomość tego co robią.

> Żeby zrobić to dobrze - nie odcinając portu 25/tcp i nie robiąc innych
> fatalnych głupot - trzeba to zrobić porządnie. Mówiłem o tym na swojej
> sesji na Cisco Expo, opierając się w głównej mierze na praktycznych
> doświadczeniach ludzi walczących z takimi rzeczami codziennie w
> sieciach AT&T, Sprintu itp. Ale taka 'praca u podstaw' jak widać
> po pierwsze musi trwać latami, a po drugie - często traktowana jest
> jako marketing vendora ('bo my przecież i tak wiemy lepiej jak to się
> robi'). No i skutki widać.

Niestety, w skali /11 trudno jest się bawić w śledzenie połączeń do
serwerów SMTP per IP; jedyne uniwersalnie dobre miejsce które przychodzi
mi do głowy, to w przypadku TP DLSAMy, które zapewne takich czarów nie
potrafią. Filtrowanie jakichkolwiek większych usług w ten sposób i tak
prowadzi do 0700-TPSA i tradycyjnego "naprawcie albo wypowiadam umowę".

Grzegorz Staniak

unread,
Jan 1, 2009, 9:43:29 AM1/1/09
to
On 01.01.2009, Szymon Sokół <szy...@bastard.operator.from.hell.pl> wroted:

>> Ale dlaczego mam "zadziałać" i kombinować jak koń pod górę? Mam
>> ochotę/p[otrzebę użycia portu 25 do wysyłania poczty, to tego portu
>> używam. To standardowy port.
>
> Mam ochotę nie używać pasów bezpieczeństwa, to nie używam?
> Ja tam uważam, że blokowanie wyjścia na port 25 z adresów dynamicznych
> byłoby całkiem sensowne (dotyczy to nie tylko TP, ale także innych ISP).

Byle to robił sam operator, który wie co komu dynamicznie nadaje i jakiego
ruchu z takich adresów się nie powinien spodziewać. Swego czasu różnym
ludkom się zdawało, że można sprawę załatwić listami RBL, na podstawie...
wzorca nazwy domenowej. W sensie, "jeśli ma adres IP zakodowany w nazwie,
to jest dynamicznym adresem".

GS
--
Grzegorz Staniak <gstaniak _at_ wp [dot] pl>
Nocturnal Infiltration and Accurate Killing

Szymon Sokół

unread,
Jan 1, 2009, 9:34:28 AM1/1/09
to

BTW, od lat polska ortografia twierdzi, że pisze się "standard" i
"standardowy", tak jak to zrobił Roman. A niektórzy i tak piszą po
przedwojennemu...

Natomiast co do meritum: nie jest specjalnie sensowne utrzymywanie serwera
SMTP na dynamicznym adresie IP. Klient zaś może do swojego serwera łączyć
się z użyciem portu 587, jak opisano w RFC 2476. I oczywiście uwierzytelniać
się, jak opisano w RFC 4954. I najwyższa pora, żeby ten model zacząć wdrażać
na masową skalę.

Paweł Tyll

unread,
Jan 1, 2009, 9:38:27 AM1/1/09
to
On Thu, 01 Jan 2009 13:28:04 +0100, Szymon Sokół
<szy...@bastard.operator.from.hell.pl> wrote:
> Mam ochotę nie używać pasów bezpieczeństwa, to nie używam?
Słabe.

> Ja tam uważam, że blokowanie wyjścia na port 25 z adresów dynamicznych
> byłoby całkiem sensowne (dotyczy to nie tylko TP, ale także innych ISP).
> A model funkcjonowania SMTP (praktycznie bez rozróżnienia komunikacji
> serwer-serwer i klient-serwer) już dawno stał się przestarzały.

Zapominasz, że to nie uczelnia, tylko biznes i działania tego typu ruszają
churn rate. Tańsze jest nie dotykać. Dobre jest nieosiągalne w tej skali.
Radiówki sobie radzą bo chcą/muszą (ze względu na ograniczoną pojemność
samego medium, jak i wyjścia na świat) i jest dużo dobrych metod
czarowania przy tysiącu czy dziesiątkach tysięcy użytkowników. Gorzej, gdy
tychże robią się miliony i trzeba nimi zarządzać per milion a nie per Pan
Zdzisio.

Krzysztof Halasa

unread,
Jan 1, 2009, 9:52:48 AM1/1/09
to
Paweł Tyll <p...@wytnij.75.pl> writes:

> Porty windowsowe nie mają praktycznie żadnego sensownego zastosowania.
> Port 25 jak najbardziej. W makroskali trudno jest rozsądnie wyciąć
> port 25 (czyli ograniczyć do 5 różnych IP w skali 24 godzin).

Przeciwnie, mozna to zrobic i TPSA moze to zrobic w sposob sensowny
(bo wyciecie np. serwerow IRC sensowne nie jest).

Jesli ktos potrzebuje wyjscia SMTP (do Internetu, nie do kilku
wybranych przez TPSA maszyn) to moglby jest sobie wlaczyc - dokladnie
tak samo jak z portami windowsowymi.

Technika nie jest problemem, polityka - owszem.
--
Krzysztof Halasa

Paweł Tyll

unread,
Jan 1, 2009, 9:58:24 AM1/1/09
to
On Thu, 01 Jan 2009 15:52:48 +0100, Krzysztof Halasa <k...@pm.waw.pl> wrote:
> Przeciwnie, mozna to zrobic i TPSA moze to zrobic w sposob sensowny
> (bo wyciecie np. serwerow IRC sensowne nie jest).
To, o czym piszesz, nie jest sensownym sposobem, i na dłuższą metę zmieni
tyle co wycięcie serwerów IRC.

> Jesli ktos potrzebuje wyjscia SMTP (do Internetu, nie do kilku
> wybranych przez TPSA maszyn) to moglby jest sobie wlaczyc - dokladnie
> tak samo jak z portami windowsowymi.

Owszem, tylko wtedy włączyliby sobie je ludzie, bo im ótlók nie działa, a
kolega powiedział, że tak się robi i już działa. Pozostałe wycięte porty
nie niosą za sobą tego ryzyka i blokadę wyłączą ludzie mający pojęcie
i/lub potrzebę.

> Technika nie jest problemem, polityka - owszem.

Problemem są ludzie, którzy nie mają pojęcia o komputerach i internetach.
Nie traćmy może tego z oczu?

Krzysztof Halasa

unread,
Jan 1, 2009, 10:09:23 AM1/1/09
to
RoMan Mandziejewicz <ro...@pik-net.pl> writes:

> Absurdalne porównanie - to nie otwarty port jest problemem ale system
> operacyjny, który jest tak podatny na zawirusowanie oraz pootwierane
> serwery, które rozsyłaniu spamu sprzyjają.

Jedno i drugie jest problemem.

Nie ma takiej mozliwosci w praktyce, by pozbyc sie "zawirusowanych"
windowsow z sieci.

Jedyna mozliwoscia eliminacji spamu jest przerwanie polaczenia
pomiedzy wysylaczami a odbierajacymi serwerami. TPSA ma tylko jedna
mozliwosc walki ze spamem - zablokowanie tcp/25 wychodzacych
z neostrad.
Po prostu nie ma innej technicznej mozliwosci uniemozliwienia spamu
z neostrad, to jest proste jak drut i jesli ktos tego nie rozumie to
nie rozumie SMTP.

TPSA moze robic rozne dziwne rzeczy ale jesli nie bedzie to blokada
tcp/25, to nie zablokuje to spamu.

DDosy to inna sprawa, tego sie nie da skutecznie zablokowac takimi
metodami, konieczne jest dotarcie do zrodla.

> FTP i telnet też są przestarzałe - żądasz blokady portów z tego
> powodu?

Te porty nie sa uzywane do wysylania spamu.

> Dopóki oprogramowanie nadal powszechnie tych portów używa - ich
> blokada _bez_ _zgody_ użytkownika jest absurdem.

Porty windowsowe sa przynajmniej tak samo powszechnie uzywane. Kto
mowi o braku zgody, w TPSA to jest opcjonalne. To juz zreszta sprawa
polityczna, nie techniczna.
--
Krzysztof Halasa

Grzegorz Staniak

unread,
Jan 1, 2009, 10:33:18 AM1/1/09
to
On 01.01.2009, Paweł Tyll <p...@wytnij.75.pl> wroted:

>> Technika nie jest problemem, polityka - owszem.
> Problemem są ludzie, którzy nie mają pojęcia o komputerach i internetach.
> Nie traćmy może tego z oczu?

To mi przypomina zawołania typu "PEBKAC!" na grupach adwokacyjnych na
każde słowo krytyki pod adresem co niektórych systemów operacyjnych.
Ludzie nie mają obowiązku znać się na komputerach i internetach. Jeśli
ich masowe zachowania powodują techniczne problemy, to technikę należy
w pierwszej kolejności dostosowywać, bo to technika jest dla ludzi,
a nie na odwrót. W tej konkretnej sytuacji, jeśli przy próbie odblokowania
portu 25 użytkownik widziałby wielki czerwony ekran z czytelnym ostrzeżeniem,
powołaniem się na regulamin i informacją, że w razie sygnałów o spamie
dostęp do Internetu zostanie odcięty, masz jak w banku redukcję spamu
produkowanego przez dynamiczne adresy o rzędy wielkości. Wystarczy, że
się rozejdzie kilka prawdziwych historii jak to znajomy kliknął, a po
tygodniu przez miesiąc czasu załatwiał ponowne przyłączenie do Internetu.

Krzysztof Halasa

unread,
Jan 1, 2009, 10:25:47 AM1/1/09
to
Paweł Tyll <p...@wytnij.75.pl> writes:

>> Przeciwnie, mozna to zrobic i TPSA moze to zrobic w sposob sensowny
>> (bo wyciecie np. serwerow IRC sensowne nie jest).
> To, o czym piszesz, nie jest sensownym sposobem, i na dłuższą metę
> zmieni tyle co wycięcie serwerów IRC.

Wyciecie serwerow IRC nie zmieni nic (w kontekscie spamu, bo
oczywiscie (ze)psuje duzo innych rzeczy).

> Owszem, tylko wtedy włączyliby sobie je ludzie, bo im ótlók nie
> działa, a kolega powiedział, że tak się robi i już działa.

Dlatego powinni wpuszczac ruch do wybranych serwerow. Nie wiem jak to
sie ma do outlookow, ale moze zamiast tego daloby sie uzyc 587. Pisza
co miesiac do abonentow kolorowe kwitki o roznych swoich jakichs
videostradach, to mogliby raz do roku napisac o sensownych sposobach
korzystania z poczty elektronicznej.

Tak czy owak, nawet jesli czesc wlaczylaby tcp/25 _i_ wysylalaby spam,
to bylby to postep. Wyciecie wybranych maszyn na swiecie to jest
postep, tyle ze "inaczej".

> Problemem są ludzie, którzy nie mają pojęcia o komputerach i
> internetach. Nie traćmy może tego z oczu?

To tak jak z jazda samochodem, tu takze problemem sa ludzie, ktorzy
nie maja pojecia o samochodach i drogach. Ale chyba nikt nie twierdzi,
ze powinni jezdzic bez prawa jazdy.
--
Krzysztof Halasa

Robert Rędziak

unread,
Jan 1, 2009, 10:29:22 AM1/1/09
to
On Thu, 1 Jan 2009 11:09:37 +0100, RoMan Mandziejewicz
<ro...@pik-net.pl> wrote:

> Bym chyba jaja urwał operatorowi za odcięcie mi portu 25 bez mojej
> zgody. Poza dziećmi neostrady z tej usługi korzystają normalni
> użytkownicy, korzystający z normalnych programów pocztowych.

Jeśli będzie to opisane w umowie, to już za Twoją zgodą. Jeśli
do tego operator da możliwość odblokowania portu na żądanie
użytkownika, to nie widzę w tym żadnego problemu.

r.
--
_________________________________________________________________
robert rędziak mailto:giekao-at-gmail-dot-com
zmien kreseczkę na kropeczkę: http://forum-subaru.pl
I hope they don't fart at Greenpeace. That's bad for Gaia.

Mariusz Kruk

unread,
Jan 1, 2009, 10:30:33 AM1/1/09
to
epsilon$ while read LINE; do echo \>"$LINE"; done < "Grzegorz Staniak"

>To mi przypomina zawołania typu "PEBKAC!" na grupach adwokacyjnych na
>każde słowo krytyki pod adresem co niektórych systemów operacyjnych.
>Ludzie nie mają obowiązku znać się na komputerach i internetach. Jeśli
>ich masowe zachowania powodują techniczne problemy, to technikę należy
>w pierwszej kolejności dostosowywać, bo to technika jest dla ludzi,
>a nie na odwrót. W tej konkretnej sytuacji, jeśli przy próbie odblokowania
>portu 25 użytkownik widziałby wielki czerwony ekran z czytelnym ostrzeżeniem,
>powołaniem się na regulamin i informacją, że w razie sygnałów o spamie
>dostęp do Internetu zostanie odcięty, masz jak w banku redukcję spamu
>produkowanego przez dynamiczne adresy o rzędy wielkości. Wystarczy, że
>się rozejdzie kilka prawdziwych historii jak to znajomy kliknął, a po
>tygodniu przez miesiąc czasu załatwiał ponowne przyłączenie do Internetu.

Niestety, to nie jest takie proste. Jeśli ludzie mają do wyboru
operatora, który ich może odciąć za coś, czemu oni w ich własnym
mniemaniu nie są w żaden sposób winni, i operatora, który nie odetnie,
wybiorą tego, który nie odetnie.
A tepsa jest na tyle duża, że ciężko znaleźć kogoś poważnego, kto wytnie
u siebie tepsę, bo znajdą się inni, którzy tepsy nie wytną i dostaną
tych klientów, których nie dostaną wycinacze tepsy.
Kwestia skali i pozycji na rynku.
(nie przypomina Ci to czegoś przypadkiem? ;->)

--
\.\.\.\.\.\.\.\.\.\.\.\.\.\ Podczas bitwy każda strona jest przekonana
.\.Kr...@epsilon.eu.org.\.\. że przegrywa i obie mają rację
\.http://epsilon.eu.org/\.\
.\.\.\.\.\.\.\.\.\.\.\.\.\.

Mariusz Kruk

unread,
Jan 1, 2009, 10:35:05 AM1/1/09
to
epsilon$ while read LINE; do echo \>"$LINE"; done < "Krzysztof Halasa"

>To tak jak z jazda samochodem, tu takze problemem sa ludzie, ktorzy
>nie maja pojecia o samochodach i drogach. Ale chyba nikt nie twierdzi,
>ze powinni jezdzic bez prawa jazdy.

Ale jak nie, jak tak?
Zobacz kto dostaje prawo jazdy. Gdybyśmy faktycznie poważnie brali pod uwagę
to, że kierowca ma być zrównoważony, odpowiedzialny, sprawny fizycznie
itede itepe, prawo jazdy straciłoby pewnie z 80% (a może i więcej;
szacunki absolutnie metodą SBS) kierowców. Tyle, że w powszechnej
świadomości prawo jazdy nie jest potwierdzeniem pewnych
zdolności/umiejętności/stanu zdrowia, tylko czymś, co się po prostu
w pewnym momencie życia kupuje. I nie chodzi mi o załatwianie prawa
jazdy na lewo, tylko o transakcję "wkładam pieniądze i trochę wysiłku,
dostaję prawo jazdy". Co ma się absolutnie nijak do predyspozycji, czy
umiejętności w zakresie kierowania pojazdami mechanicznymi.

--
Kruk@ -\ | Rzeczywiście Geant ma dosyć rozbudowany jak
}-> epsilon.eu.org | na spożywczaka dział komputerowy (Bart Ogry-
http:// -/ | czak)
|

Grzegorz Staniak

unread,
Jan 1, 2009, 10:47:33 AM1/1/09
to
On 01.01.2009, Mariusz Kruk <Marius...@epsilon.eu.org> wroted:

>>To mi przypomina zawołania typu "PEBKAC!" na grupach adwokacyjnych na
>>każde słowo krytyki pod adresem co niektórych systemów operacyjnych.
>>Ludzie nie mają obowiązku znać się na komputerach i internetach. Jeśli
>>ich masowe zachowania powodują techniczne problemy, to technikę należy
>>w pierwszej kolejności dostosowywać, bo to technika jest dla ludzi,
>>a nie na odwrót. W tej konkretnej sytuacji, jeśli przy próbie odblokowania
>>portu 25 użytkownik widziałby wielki czerwony ekran z czytelnym ostrzeżeniem,
>>powołaniem się na regulamin i informacją, że w razie sygnałów o spamie
>>dostęp do Internetu zostanie odcięty, masz jak w banku redukcję spamu
>>produkowanego przez dynamiczne adresy o rzędy wielkości. Wystarczy, że
>>się rozejdzie kilka prawdziwych historii jak to znajomy kliknął, a po
>>tygodniu przez miesiąc czasu załatwiał ponowne przyłączenie do Internetu.
>
> Niestety, to nie jest takie proste. Jeśli ludzie mają do wyboru
> operatora, który ich może odciąć za coś, czemu oni w ich własnym
> mniemaniu nie są w żaden sposób winni, i operatora, który nie odetnie,
> wybiorą tego, który nie odetnie.

W wielu miejscach ten wybór nadal jest dość iluzoryczny, a działanie
największego podmiotu mogłoby mieć znaczenie dla pozostałych. Może zresztą
najlepiej byłoby, gdyby ktoś zaczął konsekwentnie prawnie ścigać takich
domowych rozsyłaczy spamu (tak, wiem że to SF-F, komu by się chciało
wyciągać w tym celu pieniądze i wyrzucać w błoto). Wtedy byłaby to ochrona
użytkownika, nie szykanowanie. Biorąc pod uwagę fakt, że zmiany kosztują,
pewnie skończy się tak, że to co jest będzie jeszcze latami trwało. Chyba,
że ktoś wpadnie na pomysł regulacji.

> A tepsa jest na tyle duża, że ciężko znaleźć kogoś poważnego, kto wytnie
> u siebie tepsę, bo znajdą się inni, którzy tepsy nie wytną i dostaną
> tych klientów, których nie dostaną wycinacze tepsy.
> Kwestia skali i pozycji na rynku.
> (nie przypomina Ci to czegoś przypadkiem? ;->)

Przypomina, owszem.

Paweł Tyll

unread,
Jan 1, 2009, 10:44:00 AM1/1/09
to
On Thu, 01 Jan 2009 16:33:18 +0100, Grzegorz Staniak <gsta...@wp.pl>
wrote:

> Wystarczy, że
> się rozejdzie kilka prawdziwych historii jak to znajomy kliknął, a po
> tygodniu przez miesiąc czasu załatwiał ponowne przyłączenie do Internetu.
No, wystarczy, żeby rozeszło się kilka prawdziwych historii, jak to
znajomy kliknął, a po tygodniu był już u innego operatora, gdzie mu
wszystko działało bez klikania. Ja na codzień słyszę o klientach, którym
równowartość dwóch big mac menu miesięcznie to za drogo za Internet, a
informacja wysłana o niezapłaconej fakturze dwa tygodnie po terminie jest
zbrodnią przeciw ludzkości, bo przecież klient zapłacił ją 16 godzin
wcześniej! (czyli 13 dni po terminie). Do tego dochodzi prawo
telekomunikacyjne, stosunek UKE do TP - po co się w to wszystko bawić,
skoro można nie robić nic, nie narażając się nikomu? Albo zamiast niczego
można zrobić to co zrobili, co będzie ładnie wyglądać z boku, a jedynym
skutkiem ubocznym będzie to, że kilka tysięcy użytkowników nie połączy się
z IRC (w skali kilku milionów), kilku pacjentów pogardłuje na polipie, a
przy okazji na jakiś (zapewne krótki) okres czasu spadnie (zapewne
nieznacznie) liczba DDoSów i maili ze spamem.

Jarek Kamiński

unread,
Jan 1, 2009, 10:47:26 AM1/1/09
to
01.01.2009 user ksywką RoMan Mandziejewicz nabazgrał(a) na grupę
pl.internet.polip co następuje:

>>>> Przeciez wiadomo ze kwestie spamu z neostrad TPSA moze zalatwic
>>>> w mgnieniu oka - wystarczy odfiltrowac wychodzace tcp/25 (dokladnie
>>>> tak samo jak robia to z portami "windowsowymi").
>>> Bym chyba jaja urwał operatorowi za odcięcie mi portu 25 bez mojej
>>> zgody. Poza dziećmi neostrady z tej usługi korzystają normalni
>>> użytkownicy, korzystający z normalnych programów pocztowych.
>> Ale robisz to świadomie, więc możesz zadziałać i użyć portu 587 do

> Ale dlaczego mam "zadziałać" i kombinować jak koń pod górę? Mam
> ochotę/p[otrzebę użycia portu 25 do wysyłania poczty, to tego portu
> używam. To standardowy port.

Standardowym portem jest 587 -- RFC4409. Można też użyć 465 (SSL).
25 służy do komunikacji serwer-serwer. Jak ktoś chce stawiać serwer
pocztowy na neostradzie komunikujący się z innymi bez pośrednictwa
smarthosta, to spokojnie mógłby sobie 25 odklikać w jakimś panelu.

> Nie - to operator ma obowiązek się mnie grzecznie zapytać, czy sobie
> życzę blokady portu. To on jest dla mnie a nie ja dla niego.

Operator powinien również dbać o to, aby z jego sieci nie wychodził syf.

Pozdrawiam,
Jarek Kamiński.

Grzegorz Staniak

unread,
Jan 1, 2009, 10:59:07 AM1/1/09
to
On 01.01.2009, Paweł Tyll <p...@wytnij.75.pl> wroted:

>> Wystarczy, że

Zauważ, że w tym momencie piszesz o polityce, nie technice.

Paweł Tyll

unread,
Jan 1, 2009, 11:06:46 AM1/1/09
to
On Thu, 01 Jan 2009 16:59:07 +0100, Grzegorz Staniak <gsta...@wp.pl>
wrote:

> Zauważ, że w tym momencie piszesz o polityce, nie technice.
A to przepraszam ktoś miał wątpliwości jakieś gdzie głównie leży problem?
Technicznie można zrobić gorsze i lepsze rzeczy. Doskonałych w tej skali
się (łatwo) nie da. Polityka natomiast blokuje wprowadzenie jakiegokolwiek
utrudnienia w korzystaniu z poczty, bo jest to praktycznie po www
najważniejsza usługa, dla której klient płaci za Internet.

Grzegorz Staniak

unread,
Jan 1, 2009, 11:32:31 AM1/1/09
to
On 01.01.2009, Paweł Tyll <p...@wytnij.75.pl> wroted:

>> Zauważ, że w tym momencie piszesz o polityce, nie technice.


>
> A to przepraszam ktoś miał wątpliwości jakieś gdzie głównie leży problem?

Podobno mieli nim być ci wszyscy nieznający się na komputerach i internetach
użytkownicy.

Paweł Tyll

unread,
Jan 1, 2009, 11:30:44 AM1/1/09
to
On Thu, 01 Jan 2009 17:32:31 +0100, Grzegorz Staniak <gsta...@wp.pl>
wrote:

> Podobno mieli nim być ci wszyscy nieznający się na komputerach i
> internetach użytkownicy.
Ci wszyscy nieznający się na komputerach i internetach użytkownicy są
właśnie powodem, dla którego nie wprowadza się zabezpieczeń dla nich przed
nimi. Ale widzę, że piszę to co pisałem, tylko inaczej, więc czas odpuścić
temat ;)

Michal Jankowski

unread,
Jan 1, 2009, 12:17:59 PM1/1/09
to
Paweł Tyll <p...@wytnij.75.pl> writes:

> przychodzi mi do głowy, to w przypadku TP DLSAMy, które zapewne
> takich czarów nie potrafią. Filtrowanie jakichkolwiek większych usług
> w ten sposób i tak prowadzi do 0700-TPSA i tradycyjnego "naprawcie
> albo wypowiadam umowę".

Od kilku tygodni pare milionow klientow tpsa nie ma dostepu do
www.gimp.org

Czy ktos wypowiedzial umowe? Czy to jest w ogole podstawa do
wypowiedzenia umowy?

MJ

Marcin Gryszkalis

unread,
Jan 1, 2009, 12:26:21 PM1/1/09
to
Szymon Sokół wrote:
> nie jest specjalnie sensowne utrzymywanie serwera
> SMTP na dynamicznym adresie IP.

Specjalnie sensowne nie, ale bezwzględne blokowanie takiej możliwości jest
złe - chociażby dlatego, że młodzież (ale nie przysłowiowe dzieci
neostrady), studenci i inni pasjonaci mogą sobie hobbistycznie postawić na
neostradzie serwer smtp (a także dowolnych innych usług), dzięki serwisom
typu noip.com mogą mieć w pełni funkcjonalną domenę na dynamicznym ip i w
praktyce poznawać administrację. Uważam, że to bardzo ważna możliwość.

pozdrawiam
--
Marcin Gryszkalis, PGP 0x9F183FA3
jabber jid:m...@fork.pl, gg:2532994
http://the.fork.pl

Verox

unread,
Jan 1, 2009, 10:50:40 AM1/1/09
to
On Thu, 01 Jan 2009 18:17:59 +0100, Michal Jankowski napisał:
> Paweł Tyll <p...@wytnij.75.pl> writes:
>
>> przychodzi mi do głowy, to w przypadku TP DLSAMy, które zapewne
>> takich czarów nie potrafią. Filtrowanie jakichkolwiek większych usług
>> w ten sposób i tak prowadzi do 0700-TPSA i tradycyjnego "naprawcie
>> albo wypowiadam umowę".
>
> Od kilku tygodni pare milionow klientow tpsa nie ma dostepu do
> www.gimp.org

A może to spisek Adobe ;-) ?
Może &tp bierze kase od w/w :-) ?

> Czy ktos wypowiedzial umowe? Czy to jest w ogole podstawa do
> wypowiedzenia umowy?

Na ,,grubych'' łączach zarówno ATM jak i MetroEthernet z BGP jest to samo.
Sprawa nie dotyczy wyłącznie klientów detalicznych.

--
[tomek <at> kalety <dot> net] vy 73! de SP9UOB
Proud to be 100 percent microsoft free. op. Tomek

futszaK

unread,
Jan 1, 2009, 1:00:56 PM1/1/09
to
xbartx wrote:

> Dnia Wed, 31 Dec 2008 06:23:17 -0800, ru napisał(a):
>
> IMO
> &tp ma taki wolumen klientów, że czego by nie zrobili, to zawsze znajdzie
> się masa niezadowolonych. Musimy mieć tylko nadzieję, że dopracują
> procedury i będzie w miarę znośnie.

ja tam mam nadzieje, że podzielą TP na kilkadziesiąt części z których
kazda nie będzie już miała takiego wolumenu klientów

nie lubię dużych firm

--
http://net.czarne.net/ <- łącze w świat pilnie potrzebne !!!
Dach elektrowni w Czernobylu mial byc zbudowany z materialow
ognioodpornych ale tych nie bylo,a dach byc musial,wiec
zostal zbudowany z materialow palnych

Paweł Tyll

unread,
Jan 1, 2009, 1:05:21 PM1/1/09
to
On Thu, 01 Jan 2009 19:00:56 +0100, futszaK <fut...@gmail.com> wrote:
> ja tam mam nadzieje, że podzielą TP na kilkadziesiąt części z których
> kazda nie będzie już miała takiego wolumenu klientów
> nie lubię dużych firm
Mam nadzieję, że zlikwidują Twoją firmę i Ciebie. Nie lubię małych firm i
ludzi z nickami na F.

;)

NMSP.

Krzysztof Halasa

unread,
Jan 1, 2009, 1:09:08 PM1/1/09
to
Mariusz Kruk <Marius...@epsilon.eu.org> writes:

>>To tak jak z jazda samochodem, tu takze problemem sa ludzie, ktorzy
>>nie maja pojecia o samochodach i drogach. Ale chyba nikt nie twierdzi,
>>ze powinni jezdzic bez prawa jazdy.
>
> Ale jak nie, jak tak?
> Zobacz kto dostaje prawo jazdy. Gdybyśmy faktycznie poważnie brali pod uwagę
> to, że kierowca ma być zrównoważony, odpowiedzialny, sprawny fizycznie
> itede itepe, prawo jazdy straciłoby pewnie z 80% (a może i więcej;
> szacunki absolutnie metodą SBS) kierowców.

Ale ja nie twierdze ze kazdy user neostrady musi byc hackerem.
Wystarczy ze bedzie znal elementarne informacje, bez ktorych albo ktos
mu bedzie robil kuku, albo on bedzie to (nieswiadomie) robil innym,
albo (najczesciej?) jedno i drugie.

Kierowcy raczej wiedza ze nalezy sie zatrzymac na czerwonym swietle
i ze nie nalezy zajezdzac drogi ciezarowkom? Dlaczego tego typu wiedza
na uzytkownikow neostrad ma byc czyms niemozliwym do zdobycia?
--
Krzysztof Halasa

Michal Jankowski

unread,
Jan 1, 2009, 1:09:29 PM1/1/09
to
Verox <antispa...@bijspamera.veroxsystems.com> writes:

> Na ,,grubych'' łączach zarówno ATM jak i MetroEthernet z BGP jest to samo.
> Sprawa nie dotyczy wyłącznie klientów detalicznych.

Jeżeli to jest zrobione nullroutowaniem adresu w szkielecie TP, to
trudno, żeby odróżniało klientów.

MJ

Krzysztof Halasa

unread,
Jan 1, 2009, 1:11:23 PM1/1/09
to
Marcin Gryszkalis <m...@fork.pl> writes:

> Specjalnie sensowne nie, ale bezwzględne blokowanie takiej możliwości jest
> złe - chociażby dlatego, że młodzież (ale nie przysłowiowe dzieci
> neostrady), studenci i inni pasjonaci mogą sobie hobbistycznie postawić na
> neostradzie serwer smtp (a także dowolnych innych usług), dzięki serwisom
> typu noip.com mogą mieć w pełni funkcjonalną domenę na dynamicznym ip i w
> praktyce poznawać administrację. Uważam, że to bardzo ważna możliwość.

TPSA ma mozliwosc blokowania portow zgodnie z zyczeniem klienta
(i wykorzystuje ja, tyle ze w odniesieniu do innych portow).
--
Krzysztof Halasa

Mariusz Kruk

unread,
Jan 1, 2009, 1:14:26 PM1/1/09
to
epsilon$ while read LINE; do echo \>"$LINE"; done < "Krzysztof Halasa"
>>>To tak jak z jazda samochodem, tu takze problemem sa ludzie, ktorzy
>>>nie maja pojecia o samochodach i drogach. Ale chyba nikt nie twierdzi,
>>>ze powinni jezdzic bez prawa jazdy.
>> Ale jak nie, jak tak?
>> Zobacz kto dostaje prawo jazdy. Gdybyśmy faktycznie poważnie brali pod uwagę
>> to, że kierowca ma być zrównoważony, odpowiedzialny, sprawny fizycznie
>> itede itepe, prawo jazdy straciłoby pewnie z 80% (a może i więcej;
>> szacunki absolutnie metodą SBS) kierowców.
>Ale ja nie twierdze ze kazdy user neostrady musi byc hackerem.
>Wystarczy ze bedzie znal elementarne informacje, bez ktorych albo ktos
>mu bedzie robil kuku, albo on bedzie to (nieswiadomie) robil innym,
>albo (najczesciej?) jedno i drugie.
>
>Kierowcy raczej wiedza ze nalezy sie zatrzymac na czerwonym swietle
>i ze nie nalezy zajezdzac drogi ciezarowkom?

To akurat wiedzą nie tylko kierowcy.
Kierowcy natomiast nie wiedzą wielu rzeczy, które wiedzieć powinni
(pomijając już zupełnie to, co wiedzą, a ignorują).

--
\------------------------/ (A)bort, (R)etry, (U)se the Force?
| Kr...@epsilon.eu.org |
| http://epsilon.eu.org/ |
/------------------------\

Michal Jankowski

unread,
Jan 1, 2009, 1:11:36 PM1/1/09
to
Marcin Gryszkalis <m...@fork.pl> writes:

> Specjalnie sensowne nie, ale bezwzględne blokowanie takiej możliwości jest
> złe - chociażby dlatego, że młodzież (ale nie przysłowiowe dzieci
> neostrady), studenci i inni pasjonaci mogą sobie hobbistycznie postawić na
> neostradzie serwer smtp (a także dowolnych innych usług), dzięki serwisom
> typu noip.com mogą mieć w pełni funkcjonalną domenę na dynamicznym ip i w
> praktyce poznawać administrację. Uważam, że to bardzo ważna możliwość.

I tak do mnóstwa miejsc ich poczta nie dojdzie, chyba że przez
pośrednie serwery... Jak ktoś chce zostać administratorem, to lepiej
wyjdzie na wydaniu paru groszy na stałe IP...

MJ

Verox

unread,
Jan 1, 2009, 11:26:21 AM1/1/09
to

Wiem o tym. Chciałem jednak pokazać że przy walce z dziećmi neostrady
rykoszetem dostali abonenci płacący kilka(naście) rzędów więcej.

Tomasz Śląski

unread,
Jan 1, 2009, 1:59:44 PM1/1/09
to
Użyszkodnik Michal Jankowski napisał:

>
> Od kilku tygodni pare milionow klientow tpsa nie ma dostepu do
> www.gimp.org
>
> Czy ktos wypowiedzial umowe? Czy to jest w ogole podstawa do
> wypowiedzenia umowy?

Toczy się na ten temat dyskusja na pl.soc.prawo. Moim skromnym zdaniem spór
idzie tak naprawdę o definicję co to jest 'internet', albo co to jest 'wór z
internetem' dostarczany weług umowy i regulaminu do użytkownika końcowego.
Ponadto w tym miejscu nalezałoby się zastanowić, czy nie wrócić do idei
tranzytowego AS w TP (o jakimś podziale pewien Urząd coś mówił, hehe), przez
który szedł by ruch dla łącz operatorskich, bo dziś nullroute dla AS5617
dotyczy wszystkich - zarówno detalicznych neostradowiczów, jak i
alternatywnych ISP biorących po Metro Eth czy innym ATMie setki Mb/s, a
który być może wcale sobie takiej 'ochrony' nie życzą.

--
Ślązak

Paweł Damian

unread,
Jan 1, 2009, 2:02:03 PM1/1/09
to
Michal Jankowski pisze:

lg.tpnet.pl:

BGP routing table entry for 212.182.63.110/32, version 444814
Paths: (1 available, best #1, not advertised to EBGP peer)
Not advertised to any peer
3402
80.50.231.205 from 80.50.231.205 (213.25.2.10)
Origin IGP, localpref 100, valid, internal, best
Community: 5617:997 5617:3322 no-export
Originator: 213.25.2.238, Cluster list: 91.0.2.1, 22.0.0.4, 22.0.3.1


a poniżej link metroethernet z BGP:

sh ip bgp 212.182.63.110
BGP routing table entry for 212.182.0.0/18, version 26554017
5617 1299 8501 12324
XX.XX.XX.XX from XX.XX.XX.XX
Origin IGP, localpref 95, valid, external, atomic-aggregate
Community: 1299:1000 1299:30000 1299:30320 1299:41020 8501:1011
8501:5109


ping 212.182.63.110

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 212.182.63.110, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/12/16 ms


pozdr.,
Paweł

futszaK

unread,
Jan 1, 2009, 2:09:13 PM1/1/09
to
RoMan Mandziejewicz wrote:

> Bym chyba jaja urwał operatorowi za odcięcie mi portu 25 bez mojej
> zgody. Poza dziećmi neostrady z tej usługi korzystają normalni
> użytkownicy, korzystający z normalnych programów pocztowych.

skoro umieją je skonfigurować, to i umieją wejść do panelu
administracyjnego usługi i sobie port 25 włączyć

Marcin Gryszkalis

unread,
Jan 1, 2009, 2:18:41 PM1/1/09
to
Michal Jankowski wrote:
> I tak do mnóstwa miejsc ich poczta nie dojdzie, chyba że przez
> pośrednie serwery...
to też takiego miśka czegoś nauczy

> Jak ktoś chce zostać administratorem, to lepiej
> wyjdzie na wydaniu paru groszy na stałe IP...

to najczęściej nie jest parę groszy, szczególnie jak się nie planuje na tym
zarabiać

futszaK

unread,
Jan 1, 2009, 2:24:33 PM1/1/09
to
Paweł Tyll wrote:

> > a w tym wypadku i doświadczenia.
> Tak, wyraźnie ktoś nie ma doświadczenia. Nie potrafi też się uczyć na
> cudzych błędach. Oprogramowanie P2P ma imponującą ilość funkcji
> zabezpieczających tylko i wyłącznie przed ograniczaniem/filtrowaniem
> połączeń przez różnych ISP - wszelkie próby ograniczania tego co można
> robić z łączem z Internetem (które nie jest łączem do tego co akurat
> operatorowi pasuje, jak niektórym się tutaj wydaje, tylko łączem z
> Internetem) prowadzą tylko do obejścia tych pomysłów, i zabezpieczenia się
> przed takimi próbami w przyszłości.

p2p "żyje" z tego, że ludzie udostępniają w trybie ciągłym swoje zasoby,
dosyć skuteczną metodą ograniczenie działania w/w aplikacji jest ostre
przycięcie uploadu. nie trzeba nic analizować, rozbierać pakietów,
probować deszyfrować, poprostu samo przestaje działać w myśl zasady
"mało udostępniasz, mało dostajesz"

> Ciekawe komu najbardziej przypasuje
> stan rzeczy, gdy każdy pakiet wychodzący z komputera będzie routowany
> przez 2 inne losowe komputery, a wcześniej szyfrowany end-to-end.

coś kosztem czegoś

RoMan Mandziejewicz

unread,
Jan 1, 2009, 2:31:25 PM1/1/09
to
Hello Krzysztof,

Thursday, January 1, 2009, 4:09:23 PM, you wrote:

>> Absurdalne porównanie - to nie otwarty port jest problemem ale system
>> operacyjny, który jest tak podatny na zawirusowanie oraz pootwierane
>> serwery, które rozsyłaniu spamu sprzyjają.
> Jedno i drugie jest problemem.
> Nie ma takiej mozliwosci w praktyce, by pozbyc sie "zawirusowanych"
> windowsow z sieci.
> Jedyna mozliwoscia eliminacji spamu jest przerwanie polaczenia
> pomiedzy wysylaczami a odbierajacymi serwerami. TPSA ma tylko jedna
> mozliwosc walki ze spamem - zablokowanie tcp/25 wychodzacych
> z neostrad.

No i? Powstaną otwarte serwery na innych portach. Góra po tygodniu.

[...]

>> Dopóki oprogramowanie nadal powszechnie tych portów używa - ich
>> blokada _bez_ _zgody_ użytkownika jest absurdem.
> Porty windowsowe sa przynajmniej tak samo powszechnie uzywane.

Są używane lokalnie a nie w Sieci.

> Kto mowi o braku zgody,

Ja mówię - od początku mojego wejścia do dyskusji. Cytując: "Bym chyba


jaja urwał operatorowi za odcięcie mi portu 25 bez mojej zgody."

^^^^^^^^^^^^^^^

[...]


--
Best regards,
RoMan mailto:ro...@pik-net.pl

Mariusz Kruk

unread,
Jan 1, 2009, 2:32:54 PM1/1/09
to
epsilon$ while read LINE; do echo \>"$LINE"; done < "Marcin Gryszkalis"

>> Jak ktoś chce zostać administratorem, to lepiej
>> wyjdzie na wydaniu paru groszy na stałe IP...
>to najczęściej nie jest parę groszy, szczególnie jak się nie planuje na tym
>zarabiać

Zależy gdzie. Np. Aster daje w tej samej cenie stałe lub zmienne IP.
Klienta wybór.

--
\------------------------/ Microsoft Office 2000: Wykrywasz co chcesz
| Kr...@epsilon.eu.org |
| http://epsilon.eu.org/ |
/------------------------\

RoMan Mandziejewicz

unread,
Jan 1, 2009, 2:33:59 PM1/1/09
to
Hello Robert,

Thursday, January 1, 2009, 4:29:22 PM, you wrote:

>> Bym chyba jaja urwał operatorowi za odcięcie mi portu 25 bez mojej

>> zgody. Poza dziećmi neostrady z tej usługi korzystają normalni
>> użytkownicy, korzystający z normalnych programów pocztowych.

> Jeśli będzie to opisane w umowie, to już za Twoją zgodą.

Ale tu jest żądanie odcięcia portu wszystkim, bez zmiany umowy i
pytania użytkowników o zdanie. I dobrze, że telekomuna na to nie
poszła.

> Jeśli do tego operator da możliwość odblokowania portu na żądanie
> użytkownika, to nie widzę w tym żadnego problemu.

Bo nie o takim rozwiązaniu piszę. Piszę wyraźnie: "odcięcie mi portu


25 bez mojej zgody".

--

RoMan Mandziejewicz

unread,
Jan 1, 2009, 2:40:44 PM1/1/09
to
Hello Jarek,

Thursday, January 1, 2009, 4:47:26 PM, you wrote:

[...]

>> Ale dlaczego mam "zadziałać" i kombinować jak koń pod górę? Mam
>> ochotę/p[otrzebę użycia portu 25 do wysyłania poczty, to tego portu
>> używam. To standardowy port.
> Standardowym portem jest 587 -- RFC4409. Można też użyć 465 (SSL).

O ile obsługuje to druga strona - aż sprawdziłem konfigurację u siebie
- na 8 serwerów, na które wysyłam swoje maile aż 6 leci po porcie 25.
I nie mogę tego zmienić.
Mam przestać korzystać z adresów używanych od wielu lat, bo TPSA nie
potrafi filtrować spamu po ruchu generowanym na porcie?

[...]

>> Nie - to operator ma obowiązek się mnie grzecznie zapytać, czy sobie
>> życzę blokady portu. To on jest dla mnie a nie ja dla niego.
> Operator powinien również dbać o to, aby z jego sieci nie wychodził syf.

Ode mnie nie wychodzi. A odpowiedzialności zbiorowej jeszcze nie
wprowadzono. I nie życzę sobie blokowania czegokolwiek bez mojej
zgody. Nie można nieudolności operatora łatać automatycznymi blokadami
dla wszystkich.

Michal Jankowski

unread,
Jan 1, 2009, 2:52:21 PM1/1/09
to
RoMan Mandziejewicz <ro...@pik-net.pl> writes:

>> pomiedzy wysylaczami a odbierajacymi serwerami. TPSA ma tylko jedna
>> mozliwosc walki ze spamem - zablokowanie tcp/25 wychodzacych
>> z neostrad.
>
> No i? Powstaną otwarte serwery na innych portach. Góra po tygodniu.

Huh? Jakie otwarte serwery? Zombiki wysylaja spam na port 25
docelowego MTA (MX).

MJ

Szymon Sokół

unread,
Jan 1, 2009, 2:59:27 PM1/1/09
to
On Thu, 1 Jan 2009 20:31:25 +0100, RoMan Mandziejewicz wrote:

> No i? Powstaną otwarte serwery na innych portach. Góra po tygodniu.

Po pierwsze: mało prawdopodobne.
W tej chwili praktycznie *nie ma* otwartych serwerów SMTP, a te, które są,
istnieją dlatego, że ich administratorzy nie umieją skonfigurować SMTP AUTH
albo wręcz nie wiedzą, że powinni. Nie sądzę, żeby ktoś stawiał otwarte
serwery *celowo*. Może jakieś jednostkowe przypadki.
Po drugie: jednostkowe przypadki łatwiej wyfiltrować, niż setki całych klas
adresowych.

--
Szymon Sokół (SS316-RIPE) -- Network Manager B
Computer Center, AGH - University of Science and Technology, Cracow, Poland O
http://home.agh.edu.pl/szymon/ PGP key id: RSA: 0x2ABE016B, DSS: 0xF9289982 F
Free speech includes the right not to listen, if not interested -- Heinlein H

Wojtek /aquaz/ Dziubiński

unread,
Jan 1, 2009, 3:51:41 PM1/1/09
to
Dnia Thu, 1 Jan 2009 16:26:21 +0000 (UTC), Verox napisał(a):
> Wiem o tym. Chciałem jednak pokazać że przy walce z dziećmi neostrady
> rykoszetem dostali abonenci płacący kilka(naście) rzędów więcej.

A właśnie.
Ja nie płacę kilka rzędów więcej, mam iDSL - też mam dostać po tyłku?
Chyba nie o to chodzi ile się płaci..

--
Wojtek \aquaz\ Dziubiński

Andrzej Karpinski

unread,
Jan 1, 2009, 4:01:50 PM1/1/09
to
> Na razie znowu tez wyciela irc.pl :)


Dobry Wieczor w Nowym Roku,


Tak sobie czytam watek, i powolutku dochodze do wniosku, ze czesc osob nie
do konca rozumie istote tego co sie wydarzylo w ostatnim czasie. Jesli
pozwolicie bedzie przeglad wybranych postow, bo nie chce mi sie dopisywac
po 3 zdania do 40 postow. Kolejnosc odpowiedzi dosc przypadkowa, bardziej
wynikajaca z kolejnosci czytania przeze mnie postow niz z czegokolwiek
innego. Prosze wiec nie brac mi za zle, ze kogos skomentowalem, a kogos
innego nie :-) To nic osobistego.


Pawel Tyll napisal:

> Nie jest to w adnym wypadku uzasadnienie, by wycinaserwery IRC, bo kto ich uywa do wydawania komend botom.

Postawiona przez Ciebie teza nie jest prawdziwa. Serwery IRC nie sa
wycinane. Najlepszym dowodem na to jest poprawnie pracujacy irc.efnet.pl,
pomimo blackholingu. Prawdziwe twierdzenie powinno brzmiec "wycinane sa
serwery IRC, co do ktorych zostalo potwierdzone, ze korzystaja z nich
botnety rozsylajace spam"

Jacek Zapala napisal:

> A moesz rozwino tych otwartch serwerach co sprzyjaj? Oczywicie w kontekcie sania spamu przez typowego zombie do docelowych serwer.

Podalem irc.efnet.pl jako kontrprzyklad. Nie zalapalem sie na blackholing
pomimo iz mam uzytkownikow niekoniecznie mniej niz ircnet. Ponizej jest
wyjasnienie jak na efnecie podchodzimy do tego problemu.

michalj napisal:

>> Dobrze znane 5617:997 ;)
>
> I to ju wszystko tumaczy?
>
> No kurde, jako nie posdzam strony gimpa o pornografidzieci czy inne przeststwa.
>
> I nic siju nie daje nawet nie zaatwi ale choy dowiedzieprywatnymi, czy
prywatnymi kanaami, Konrad P. mnie odesa do standardowego abuse, a ono chyba do /dev/null.."

Michale, wpuszczanie botnetow, ktore rozsylaja spam, to takie samo
'przewinienie' jak scigane juz od paru lat open-relay'e! Dzis nie
znajdziesz powaznego serwisu, ktory przyjmowalby poczte skadkolwiek i bez
zadnej weryfikacji wysylal ja dalej (a przeciez 15 lat temu wszyscy tak
zesmy robili!). Ciezko znalezc tez serwis, ktory nie oferuje swoim
uzytkownikom ochrony w zakresie filtrowania poczty przychodzacej (kilka
lat temu filtrowanie czegokolwiek budzilo podobne protesty!). Swiat sie
zmienia. Protokoly sa niedoskonale, bo w chwili ich tworzenia nikt nie
pomyslal o radosnej tworczosci marketoidow, ktorzy zmieniaja nasz swiat w
papke, twierdzac ze sa innowacyjni. Musimy (my, technika) dostosowywac sie
i reagowac, bo za chwile utoniemy. Zalatwiac tu nie ma co - reguly sa
znane, a blacklista tworzona automatycznie. Nie jest ciezko wymyslec co
zrobic, zeby nie byc blackholowanym. Dalszy rozwoj wydarzen zalezy tylko i
wylacznie od sprawnosci dzialania admina (jesli uda mu sie rozwiazac
problem botnetow to w ciagu kilku dni nie bedzie juz blackholowany - z
automatu, bez ingerencji kogokolwiek wiecej!) oraz sprawnosci nacisku
uzytkownikow (jesli beda gnebic admina, to moze w koncu cos z tym zrobi).

dalej michalj pisze:

> I TEN KONKRETNY serwer jest kontrolerem jakiego botneta?

Tak! Jesli widzisz 997 to znaczy ze 'zlapal' odpowiedni score! W chwili
obecnej reguly sa i tak dosc mocno obnizone. Blackholowane sa IPki ktore
"w ciagu ostatnich 15 min obslugiwaly botnet, ktory rozeslal spam, ktory
pojawil sie w wiecej niz jednej sondzie na swiecie". Dane sa sciagane z
kilku zrodel i kompilowane w spojna liste adresow, z dolozonym score
(zainteresowanym moge podac szczegoly). *Wszystkie* IP, ktore spelniaja
wyrazenie (prawie regularne) w cudzyslowiu sa blokowane automatycznie.
Przyznasz, ze to dobre kryterium?

> Czy po prostu TP blokuje wszystko z literami IRC w nazwie, bo tak im wygodniej?

Skadze znowu. Nie sadze ze komukolwiek przyszloby nawet do glowy skanowac
ilestam adresow IP w kierunku istnienia (lub nie) uslugi IRC. Zasady
blokowania opisalem (mniej wiecej) powyzej. Co ciekawe, sa (takze w
Polsce) duze, publiczne sieci IRC, ktore maja score 0, i poprawnie
dzialaja z sieci TP w najlepsze! Zeby bylo smieszniej nie sa na zadnej
whiteliscie, tylko same skutecznie bronia sie przed botnetami. Wiekszosc z
tu piszacych zapewne nie ma dostepu do komunikatow z serwera na efnecie,
wiec w ramach zajec edukacyjnych ;-) pozwole sobie wkleic maly fragment:

20:22 !irc.efnet.pl *** Notice --
pldm!dron...@dronemon.irc.efnet.pl{dronemon} added temporary 14400 min.
D-Line for [86.12.60.129] [(r47/36502) drone]
20:22 !irc.efnet.pl *** Notice -- DLINE active for
bahurim[~and...@cpc4-derb9-0-0-cust128.leic.cable.ntl.com]
20:25 !irc.efnet.pl *** Notice --
plDK!dron...@dronemon.irc.efnet.pl{dronemon} added temporary 86400 min.
K-Line for [*@24.167.136.211] [Use another server.]
20:25 !irc.efnet.pl *** Notice --
pldm!dron...@dronemon.irc.efnet.pl{dronemon} added temporary 14400 min.
D-Line for [24.167.136.211] [(r47/36503) drone]
20:25 !irc.efnet.pl *** Notice -- DLINE active for
chiquita[~cred...@cpe-024-167-136-211.triad.res.rr.com]
20:26 !irc.efnet.pl *** Notice --
pldm!dron...@dronemon.irc.efnet.pl{dronemon} added temporary 14400 min.
D-Line for [67.232.93.166] [(r47/36504) drone]
20:26 !irc.efnet.pl *** Notice -- DLINE active for
bqi[dra...@tn-67-232-93-166.dhcp.embarqhsd.net]
20:26 !irc.efnet.pl *** Notice --
plDK!dron...@dronemon.irc.efnet.pl{dronemon} added temporary 86400 min.
K-Line for [*@67.232.93.166] [Use another server.]
20:26 !irc.efnet.pl *** Notice --
TOR-OPM!t...@eversible.bopm{irc.eversible.com} added temporary 1440 min.
K-Line for [*@92.61.67.57] [TOR proxy found. See
http://rbl.efnetrbl.org/?i=92.61.67.57 for details.]
20:30 !irc.efnet.pl *** Notice --
pldm!dron...@dronemon.irc.efnet.pl{dronemon} added temporary 14400 min.
D-Line for [76.180.200.159] [(r47/36505) drone]
20:30 !irc.efnet.pl *** Notice -- DLINE active for
crdec5[admi...@cpe-76-180-200-159.buffalo.res.rr.com]
20:30 !irc.efnet.pl *** Notice --
plDK!dron...@dronemon.irc.efnet.pl{dronemon} added temporary 86400 min.
K-Line for [*@76.180.200.159] [Use another server.]
20:34 !irc.efnet.pl *** Notice --
TOR-OPM!t...@eversible.bopm{irc.eversible.com} added temporary 1440 min.
K-Line for [*@79.165.94.162] [TOR proxy found. See
http://rbl.efnetrbl.org/?i=79.165.94.162 for details.]
20:35 !irc.efnet.pl *** Notice --
TOR-OPM!t...@eversible.bopm{irc.eversible.com} added temporary 1440 min.
K-Line for [*@89.149.242.137] [TOR proxy found. See
http://rbl.efnetrbl.org/?i=89.149.242.137 for details.]
20:35 !irc.efnet.pl *** Notice --
TOR-OPM!t...@eversible.bopm{irc.eversible.com} added temporary 1440 min.
K-Line for [*@88.219.227.119] [TOR proxy found. See
http://rbl.efnetrbl.org/?i=88.219.227.119 for details.]
20:36 !irc.efnet.pl *** Notice --
TOR-OPM!t...@eversible.bopm{irc.eversible.com} added temporary 1440 min.
K-Line for [*@63.249.15.2] [TOR proxy found. See
http://rbl.efnetrbl.org/?i=63.249.15.2 for details.]
20:37 !irc.efnet.pl *** Notice --
TOR-OPM!t...@eversible.bopm{irc.eversible.com} added temporary 1440 min.
K-Line for [*@213.112.173.37] [TOR proxy found. See
http://rbl.efnetrbl.org/?i=213.112.173.37 for details.]
20:38 !irc.efnet.pl *** Notice --
plDK!dron...@dronemon.irc.efnet.pl{dronemon} added temporary 86400 min.
K-Line for [*@67.181.210.179] [Use another server.]
20:38 !irc.efnet.pl *** Notice -- dubkat!dub...@oxy.moron on irc.vel.net
is requesting gline for [*@c-98-232-83-177.hsd1.wa.comcast.net]
[spamming/flooding]
20:38 !irc.efnet.pl *** Notice --
pldm!dron...@dronemon.irc.efnet.pl{dronemon} added temporary 14400 min.
D-Line for [67.181.210.179] [(r47/36506) drone]
20:38 !irc.efnet.pl *** Notice -- DLINE active for
attainer[~cad...@c-67-181-210-179.hsd1.ca.comcast.net]
20:40 !irc.efnet.pl *** Notice --
TOR-OPM!t...@eversible.bopm{irc.eversible.com} added temporary 1440 min.
K-Line for [*@64.105.21.209] [TOR proxy found. See
http://rbl.efnetrbl.org/?i=64.105.21.209 for details.]

W miare samokomentujace. Jak widac na zalaczonym obrazku, na efnecie
dzialaja sobie automaty (5), ktore pobieraja dane z roznych zrodel, i
automatycznie czasowo odcinaja uzytkownika, ktory podczas weryfikacji przy
polaczeniu spelnil okreslone kryteria, lub znajduje sie w jednej z baz. To
powoduje, ze irc.efnet.pl ma score 0, to znaczy wedlug zastosowanego
algorytmu zaden zarejestrowany botnet nie rozsyla spamu korzystajac z tego
serwera. Serwer jest wciaz publiczny i ogolnodostepny. Zapraszam :-) Dla
ulatwienia dodam, ze mechanizm ten funkcjonuje znacznie wczesniej, niz
ktokolwiek w TP pomyslal o blackholingu :-) Z mojego punktu widzenia jest
to doskonale potwierdzenie slusznosci stosowanej przez efnet polityki: nie
uznaniowe k-linie 'carewicza operatora' (imie cara nalezy wpisac samemu
dowolne), tylko automaty pracujace wedlug scisle okreslonych kryteriow.

Zainteresowanych szczegolami prosze o kontakt (znalezienie mnie na IRCu,
GaduGadu czy adresu e-mail do mnie nie jest trudnym zadaniem) - chetnie
wyjasnie w jaki sposob dzialaja efnetowe automaty, jak je zainstalowac w
swojej sieci, skad mozna brac dane i po co to wszystko. To naprawde nie
jest trudne, aby miec u siebie w sieci IRC porzadek. Score w ciagu
tygodnia spadnie do 0, nie bedzie zadnego balckholowania, a dodatkowo
wszyscy bedziemy zyc w lepszym swiecie, bez spamujacych botnetow. Bez
zadnych dzialan ze strony TP, w obecnie istniejacym swiecie i srodowisku.
Nie jest prawda ze stan obecny jest dobry, i NIEDASIE nic z tym zrobic.
CBDU.

> To czemu, psiakrew, portu 25 nie zablokuj?

A zgadnij kto po takiej blokadzie, jeszcze tego samego dnia, rozpoczalby
postepowanie antymonopolowe, z powodu razacego ograniczenia mozliwosci
wyboru dostawcy uslug pocztowych w sieci operatora dominujacego, zadajac
wielomilionowej kary? :-) Jak juz zgadniesz, to podpowiem, ze dzialania
tejze przypominaja ostatnimi czasy nieco dzialania oszolomiastych zwiazkow
zawodowych. To, ze zostanie uchwalone, ze pracownik ma zarabiac milion
zlotych i jest niezwalnialny nie bedzie oznaczalo, ze bedziemy bogaci i
bedziemy miec gwarancje pracy. Bedzie oznaczalo, ze zanim rzeczone
przepisy weszlyby w zycie to wszyscy zostalibysmy wypi*leni z pracy. Taka
niedzwiedzia przysluga. Analogicznie dziala regulator w odniesieniu do
mozliwosci przeciwdzialania niektorym zagrozeniom. Rozwiazanie z wycieciem
25 jest moze proste, ale czy zagwarantujesz ze Szanowna Pani nie
rozpocznie takiego postepowania? Zreszta, pamietam dzialania regulacyjne
jeszcze z czasow gdy budowalem z kolegami ATMANa - nierzadko bywalo tak,
ze ludzie z TP tarzali sie po podlodze chichrajac szalenczo, gdy
zaproponowana regulacja doskwierala bardziej nam, konkurencji, niz
dominujacemu. Bylo to dosc typowe, i swiadczylo o malej wiedzy na temat
rynku i techniki u Regulujacej. Czytajac niektore propozycje wystarczylo
zerknac np. na aktualne statystyki ruchu operatorow, by wiedziec, kto
podpowiadal dana regulacje. Zeby bylo smieszniej bylo to kompletnie
uznaniowe i roslo wraz ze wzrostem operatorow. Peering od 100, 250,
500Mbit/s? ;> Nie wiadomo dlaczego akurat 100, a nie 100000 albo 1 ;-)
Szczytem byla pamietna proba wprowadzenia regulacji peeringu, ktora (jak
sie chwile pomyslalo) brzmiala mniej wiecej tak: "TPSA musi sie peerowac
ze wszystkimi za darmo, a nalezy placic za ruch do (tu wpisz nazwe
polskiego komunikatora internetowego, ktorym nie jest GaduGadu)".
Dzialania w stosunku TP podejmowane na zasadzie "im gorzej tym lepiej"
prowadza wylacznie do deregulacji naturalnych mechanizmow rynkowych i
powoduja, ze woda zaczyna plynac do gory. Zreszta Komisja Europejska i
sady zdaja sie nie podzielac entuzjazmu Regulatora.

Reasumujac:

1. Nie jest prawda, ze TPSA blokuje IRC -> nie robi tego, na co dowodem
jest poprawnie dzialajacy irc.efnet.pl

2. Blokowane sa serwery IRC (dowolne), ktore spelniaja okreslony algorytm.
Robione jest to w pelni automatycznie wedlug precyzyjnych kryteriow. Jesli
jakis IP zostal zablokowany, to oznacza to, iz dzialaja na nim botnety
rozsylajace spam. Jest to potwierdzane na kilka sposobow (honeypoty, sondy
ruchu smtp).

3. Nie jest prawda, ze nie da sie z tym nic zrobic. Wystarczy zapewnic
ochrone przed botnetami rozsylajacymi spam. Jesli spam nie bedzie przez
dany serwer rozsylany, to po max 7 dniach automatycznie zniknie z
blacklisty.

4. Nie jest prawda, ze NIEDASIE wykonac punktu 3, na co dowodem jest znow
irc.efnet.pl. Dziala. Wywala boty. Co wiecej - nikt nie protestuje :-)

5. Jesli ktos nie wie jak to zrobic, to poprosze o kontakt. Pomozemy. Na
efnecie automaty usuwajace tych co nie powinni korzystac z uslugi dzialaja
od lat, i twierdze iz sa dosc dopracowane.

6. Jesli komus nie dziala ulubiony serwer IRC, to proponuje zglosic sie do
admina, zeby zrobil z nim porzadek. Wowczas calkowicie automatycznie
zostanie usuniety z blacklisty i bedzie mozna z niego korzystac.

7. Winna nie jest TP, tylko balagan na serwerach, skoro istnieja serwery i
sieci, ktorych ten problem nie dotyczy. Proponuje skierowac dyskusje w
kierunku adminow serwerow wpuszczajacych botnety, a nie TP ktora wreszcie
zaczela robic u siebie porzadek. Krytykanctwo w kazdej sytuacji (jak
zrobia to zle, jak nie zrobia to tez zle) nie prowadzzi do niczego
konstruktywnego.

8. Rozwiazania poboczne w rodzaju wyciecie 25 nie sa mozliwe, z powodow
pozatechnicznych.


pozdrawiam i najlepszego w nowym roku,
k.

--------------------------
po czym poznac ze kobieta juz jest gotowa?
jak wkladasz reke w majtki to czujesz jakby kon jadl ci z reki


futszaK

unread,
Jan 1, 2009, 4:08:07 PM1/1/09
to
RoMan Mandziejewicz wrote:

> Mam przestać korzystać z adresów używanych od wielu lat, bo TPSA nie
> potrafi filtrować spamu po ruchu generowanym na porcie?

skoro jesteś taki mądry to zgłoś się do TP, że wynalazłeś genialny
algorytm na filtrowanie spamu

baaaa, tp ?

dostaniesz robote w google, bo w/w ostatnio zaczęło mieć z tym pewne
problemy (wcześniej filtrowało spam bez problemów)

> Ode mnie nie wychodzi. A odpowiedzialności zbiorowej jeszcze nie
> wprowadzono. I nie życzę sobie blokowania czegokolwiek bez mojej
> zgody. Nie można nieudolności operatora łatać automatycznymi blokadami
> dla wszystkich.

skoro mój samochód jest w stanie jechać 170km/h to nie życze sobie
stawiania jakichkolwiek ograniczeń prędkości wynikającej z nieudolności
właścicieli dróg

Mariusz Kruk

unread,
Jan 1, 2009, 4:10:23 PM1/1/09
to
epsilon$ while read LINE; do echo \>"$LINE"; done < "futszaK"

>> Ode mnie nie wychodzi. A odpowiedzialności zbiorowej jeszcze nie
>> wprowadzono. I nie życzę sobie blokowania czegokolwiek bez mojej
>> zgody. Nie można nieudolności operatora łatać automatycznymi blokadami
>> dla wszystkich.
>skoro mój samochód jest w stanie jechać 170km/h to nie życze sobie
>stawiania jakichkolwiek ograniczeń prędkości wynikającej z nieudolności
>właścicieli dróg

Analogie samochodowe bywają naprawde piękne. Szkoda, że niektórzy nie
wiedzą, kiedy są głupie.

--
\------------------------/ A jeśli masz problem z zamykaniem poprzez
| Kr...@epsilon.eu.org | START/Uruchom/"Zamknij system" to zmieniasz
| http://epsilon.eu.org/ | 2 wartości w rejestrze i po sprawie.(Piotr
/------------------------\ Smerda)

RoMan Mandziejewicz

unread,
Jan 1, 2009, 4:13:55 PM1/1/09
to
Hello futszaK,

Thursday, January 1, 2009, 10:08:07 PM, you wrote:

>> Mam przestać korzystać z adresów używanych od wielu lat, bo TPSA nie
>> potrafi filtrować spamu po ruchu generowanym na porcie?
> skoro jesteś taki mądry to zgłoś się do TP, że wynalazłeś genialny
> algorytm na filtrowanie spamu

Jak mi sąsiad zaczął generować duży ruch na tym porcie, to go
odciąłem. Wysycił cały upload ruchem na jednym porcie - tak ciężkie do
wykrycia?

> baaaa, tp ?
> dostaniesz robote w google, bo w/w ostatnio zaczęło mieć z tym pewne
> problemy (wcześniej filtrowało spam bez problemów)

Siakoś nie zauważam problemu.

>> Ode mnie nie wychodzi. A odpowiedzialności zbiorowej jeszcze nie
>> wprowadzono. I nie życzę sobie blokowania czegokolwiek bez mojej
>> zgody. Nie można nieudolności operatora łatać automatycznymi blokadami
>> dla wszystkich.
> skoro mój samochód jest w stanie jechać 170km/h to nie życze sobie
> stawiania jakichkolwiek ograniczeń prędkości wynikającej z nieudolności
> właścicieli dróg

Nie. Nie życzę sobie stawiania ograniczenia prędkości do 40 km/h na
autostradzie. "Bo i tak przekraczają".

It is loading more messages.
0 new messages