Easynet RBL lijsten
Hi! Zoals jullie wellicht gelezen hebben gaat over een goeie week de RBL lijst van Easynet offline. Erg jammer, maar wel begrijpelijk, Ben heeft die lijst sinds de start vrijwel alleen bijgehouden en wil nu weer wat anders doen. Wat ik me afvroeg was: 1] Wie gebruikte die die lijst. Uit de reacties van andere ISP's: Veel. 2] Kunnen we met NLNOG zelf iets opzetten? We zouden kunnen denken aan nameservers alleen beschikbaar via AMS-IX, of anders via rsync, maar das slechts hardop denken. Als we een aantal enthausiaste luitjes hebben die inzien dat het wegvalen van die lijsten een gemis zal worden kunnen we wellicht zelf iets opzetten. Mischien met hulp van Ben zelf, wellicht op een iets andere manier. Sabri is ook met iets bezig vertelde hij. Suggestions ? Bye, Raymond.
On Mon, Nov 24, 2003 at 01:53:13PM +0100, Raymond Dijkxhoorn wrote: Hi,
Zoals jullie wellicht gelezen hebben gaat over een goeie week de RBL lijst van Easynet offline.
opzetten. Mischien met hulp van Ben zelf, wellicht op een iets andere manier. Sabri is ook met iets bezig vertelde hij.
Ik ben op dit moment bezig met het bouwen van een proxyscanner die met een MTA babbelt en bij een inkomende connect de remote peer scant op open proxies. Er gaat whitelisting, treshholding, caching e.d. inkomen. De resultaten van die scans wil ik in DNSBL formaat beschikbaar maken. Mocht dit in productie goed blijken te draaien dan zou het misschien nuttig zijn als collega's het ook gaan draaien. Ten eerste omdat je zo mail van open proxies kan weigeren, en ten tweede om de blacklist vol te krijgen :) Meer info hierover als het progje klaar is. -- Sabri Berisha "I route, therefore you are" "Wij doen niet aan default gateways" - anonymous engineer bij een DSL klant.
On Mon, 24 Nov 2003, Raymond Dijkxhoorn wrote:
Wat ik me afvroeg was:
1] Wie gebruikte die die lijst. Uit de reacties van andere ISP's: Veel.
Ik (prive).
2] Kunnen we met NLNOG zelf iets opzetten?
We zouden kunnen denken aan nameservers alleen beschikbaar via AMS-IX, of anders via rsync, maar das slechts hardop denken.
Alleen via AMS-IX zou kunnen. We kunnen er een klein netje IP space voor aanvragen en die alleen naar peers announcen.
Als we een aantal enthausiaste luitjes hebben die inzien dat het wegvalen van die lijsten een gemis zal worden kunnen we wellicht zelf iets opzetten. Mischien met hulp van Ben zelf, wellicht op een iets andere manier. Sabri is ook met iets bezig vertelde hij.
Wat houdt het bijhouden precies in? Hoeveel tijd is Ben daar mee kwijt? Hoe zouden we dat kunnen verdelen over meerdere mensen? -- Met vriendelijke groet, Alex Bik, BIT BV AB2298-RIPE
Hi!
Alleen via AMS-IX zou kunnen. We kunnen er een klein netje IP space voor aanvragen en die alleen naar peers announcen.
Als we een aantal enthausiaste luitjes hebben die inzien dat het wegvalen van die lijsten een gemis zal worden kunnen we wellicht zelf iets opzetten. Mischien met hulp van Ben zelf, wellicht op een iets andere manier. Sabri is ook met iets bezig vertelde hij.
Wat houdt het bijhouden precies in? Hoeveel tijd is Ben daar mee kwijt? Hoe zouden we dat kunnen verdelen over meerdere mensen?
Dat was mijn idee ook, dat moet toch te behapstukken zijn ? Heeft er iemand contact met Ben? Volgens mij leest hij hier niet mee. Bye, Raymond.
Hi!
Alleen via AMS-IX zou kunnen. We kunnen er een klein netje IP space voor aanvragen en die alleen naar peers announcen.
Als we een aantal enthausiaste luitjes hebben die inzien dat het wegvalen van die lijsten een gemis zal worden kunnen we wellicht zelf iets opzetten. Mischien met hulp van Ben zelf, wellicht op een iets andere manier. Sabri is ook met iets bezig vertelde hij.
Wat houdt het bijhouden precies in? Hoeveel tijd is Ben daar mee kwijt? Hoe zouden we dat kunnen verdelen over meerdere mensen?
Dat was mijn idee ook, dat moet toch te behapstukken zijn ? Heeft er iemand contact met Ben? Volgens mij leest hij hier niet mee.
M.i.zal het meest tijdrovende (en wat misschien vrij lastig schaalt) het feitelijk -runnen- van de lijst zijn. Het verzorgen van de technische infrastructuur is daarbij vergeleken redelijk simpel, denk ik. Afijn, wat Teun Vink dus al schreef/quote. Wat betreft DDos magneet, een RBL is zeker een risisco wat dat betreft; Zou het nog meer zijn dan IRC servers ? Er is wel een aspect wat je *niet* kunt beperken tot je peers : Als je een serieuze RBL runt, en zeker een die je aan een grotere groep gebruikers (ie, je klanten) aanbiedt, hoor je m.i.bereikbaar te zijn voor fouten, de-listen, bewijs dat de opgenomen host een probleem was e.d. Kortom, een bereikbaar domein of adres voor iedereen die iets opmerkt naar aanleiding van een 550 blocked-by-nlnog-community-rbl Ook al zijn de nameserver voor de wereld niet bereikbaar, het contact adres of de website zal dat wel moeten zijn. (Een model waarbij de communicatie met de RBL via de postmaster van het blockende systeem verloopt lijkt me niet geweldig ). Het communicatie-domein/webserver kan dus wel een DDos oplopen, en hoewel dat op het functioneren van de feitelijke lijst natuurlijk weinig invloed hoeft te hebben (aangezien de DNSen blijven werken), voor de hoster van die apparatuur kan het wel degelijk een probleem zijn. Maar aan de andere kant, een RBL die alleen door een aantal ams-ix ISPs gebruikt wordt zal lang zo snel geen DDos oplopen als een wereldwijd succesvolle RBL. (Dit argument suggereert om de hele boel gewoon in publieke geannonceerde adressen te houden, en alleen te beperken wie de RBL kan gebruiken.... ) Of is/was het de bedoeling om de lijst alleen te runnen ten behoeve van de geinteresseerde techies van ISPs waarmee gepeerd wordt ? (Hoeveel gebruikers maakt dat, 50, 100 ? Het hele PI space DDos-robuuste plan lijkt me daarvoor een beetje overkill, zo'n exclusieve lijst komt niet op de radar van een spammer, lijkt me ) Boudewijn
On Tue, 25 Nov 2003, Boudewijn Visser wrote:
Er is wel een aspect wat je *niet* kunt beperken tot je peers : Als je een serieuze RBL runt, en zeker een die je aan een grotere groep gebruikers (ie, je klanten) aanbiedt, hoor je m.i.bereikbaar te zijn voor fouten, de-listen, bewijs dat de opgenomen host een probleem was e.d.
Dat kan een aparte doos zijn (of een tweede IP op dezelfde doos). Dus de DNS server peers-only, de rest met globale connectivity. De probes zou je moeten distribueren over meerdere ISP's.
Het communicatie-domein/webserver kan dus wel een DDos oplopen, en hoewel dat op het functioneren van de feitelijke lijst natuurlijk weinig invloed hoeft te hebben (aangezien de DNSen blijven werken), voor de hoster van die apparatuur kan het wel degelijk een probleem zijn.
Die gok durf ik wel te nemen.
Of is/was het de bedoeling om de lijst alleen te runnen ten behoeve van de geinteresseerde techies van ISPs waarmee gepeerd wordt ?
Wat mij betreft wel ja. Bovendien is dat in ons geval zon 10 a 15% van het Internet.
(Hoeveel gebruikers maakt dat, 50, 100 ? Het hele PI space DDos-robuuste plan lijkt me daarvoor een beetje overkill, zo'n exclusieve lijst komt niet op de radar van een spammer, lijkt me )
Draai het eens om. Als het toch alleen voor 'ons' is, waarom zou je de IP space dan globally routable maken? -- Met vriendelijke groet, Alex Bik, BIT BV AB2298-RIPE
On Tue, 25 Nov 2003, Boudewijn Visser wrote:
[Voor 't geval er nog interesse is over dit onderwerp, tussen alle creativiteit die bij we-dare in het rack gehangen wordt ] [knip over de-list, contact domein wat wel globaal bereikbaar moet zijn. Idem probe/portscan systemen voor test ]
Het communicatie-domein/webserver kan dus wel een DDos oplopen, en hoewel dat op het functioneren van de feitelijke lijst natuurlijk weinig invloed hoeft te hebben (aangezien de DNSen blijven werken), voor de hoster van die apparatuur kan het wel degelijk een probleem zijn.
Die gok durf ik wel te nemen.
Het is jouw keus natuurlijk als je 't host, maar die DNSen kunnen er dan toch net zo goed bij ? Of denk je dat die een veel hoger risico lopen (of veel kwetsbaarder zijn?) dan een probe/MX/web doos ?
Of is/was het de bedoeling om de lijst alleen te runnen ten behoeve van de geinteresseerde techies van ISPs waarmee gepeerd wordt ?
Wat mij betreft wel ja. Bovendien is dat in ons geval zon 10 a 15% van het Internet.
Uhm, ik weet niet precies hoe je de 10% bedoelt, maar het persoonlijke mailvolume van alle techies van alle ISPs op de ams-ix (of nog 2 of 3 IXen erbij) is echt maar een *heel* kleine fractie van alle internet mail. En dus zijn rejects daarop door een nlnog-rbl erg verwaarloosbaar tov rejects door meer gebruikte rbl's (of persoonlijke filters), voor spammers die zich afvragen waardoor hun 'business' het meest gehinderd wordt. Het mailvolume van de klanten van deelnemende ISPs, die de lijst eventueel zouden kunnen gebruiken is wel een stuk meer, maar zelfs dat is toch geen groot deel van het internet mailvolume.
(Hoeveel gebruikers maakt dat, 50, 100 ? Het hele PI space DDos-robuuste plan lijkt me daarvoor een beetje overkill, zo'n exclusieve lijst komt niet op de radar van een spammer, lijkt me )
Draai het eens om. Als het toch alleen voor 'ons' is, waarom zou je de IP space dan globally routable maken?
Voordeel van 'recht toe rechtaan' is precies dat ;-). Het maakt inderdaad niet heel verschil; Voordeel van globale bereikbaarheid (met beperking op dns, of host-filter niveau) zou zijn dat je de lijst nog met een paar 'onzen' kunt delen die toevallig niet aan de ams-ix hangen. Nou ja, als de boel niet globaal bereikbaar is kan degene die internationale kennissen een plezier wil doen wel weer een proxy dns verzorgen, dus alles kan uiteindelijk. Oh well, lood om oud ijzer, dus de hoster van 't geheel kan een muntje opgooien. Boudewijn
On Thu, 27 Nov 2003, Boudewijn Visser wrote:
Die gok durf ik wel te nemen.
Het is jouw keus natuurlijk als je 't host, maar die DNSen kunnen er dan toch net zo goed bij ? Of denk je dat die een veel hoger risico lopen (of veel kwetsbaarder zijn?) dan een probe/MX/web doos ?
Ik heb nooit gezegd dat ik de DNS server(s) niet zou willen hosten :) Er zouden gewoon fors wat nameservers moeten komen, bij verschillende ISP's. En dan bij voorkeur de 'echte' primary hidden, zodat die niet gedossed kan worden. Probes in verschillende netwerken omdat er altijd grapjassen zijn die vinden dat ze de probes moeten filteren / nullrouten.
Uhm, ik weet niet precies hoe je de 10% bedoelt,
10 a 15% van de global routing table. Dat heeft niets te maken met mailvolume, maar met het aantal isp's wat de BL kan gebruiken.
Voordeel van 'recht toe rechtaan' is precies dat ;-). Het maakt inderdaad niet heel verschil; Voordeel van globale bereikbaarheid (met beperking op dns, of host-filter niveau) zou zijn dat je de lijst nog met een paar 'onzen' kunt delen die toevallig niet aan de ams-ix hangen.
Tja.. Nu ik er over nadenk: Als je de primary NS 'hidden' maakt en zorgt dat muchos ISP's secondary draaien is de kans dat ze het ding van het net af DoSsen niet zo groot. -- Met vriendelijke groet, Alex Bik, BIT BV AB2298-RIPE
On Mon, 2003-11-24 at 14:01, Alex Bik wrote:
On Mon, 24 Nov 2003, Raymond Dijkxhoorn wrote:
Wat ik me afvroeg was:
1] Wie gebruikte die die lijst. Uit de reacties van andere ISP's: Veel.
Ik (prive).
same here, net als wat $collega's.
2] Kunnen we met NLNOG zelf iets opzetten?
We zouden kunnen denken aan nameservers alleen beschikbaar via AMS-IX, of anders via rsync, maar das slechts hardop denken.
Alleen via AMS-IX zou kunnen. We kunnen er een klein netje IP space voor aanvragen en die alleen naar peers announcen.
Als we een aantal enthausiaste luitjes hebben die inzien dat het wegvalen van die lijsten een gemis zal worden kunnen we wellicht zelf iets opzetten. Mischien met hulp van Ben zelf, wellicht op een iets andere manier. Sabri is ook met iets bezig vertelde hij.
Wat houdt het bijhouden precies in? Hoeveel tijd is Ben daar mee kwijt? Hoe zouden we dat kunnen verdelen over meerdere mensen?
In wat discussies op de spamassassin-talk mailinglist werd hier wel iets over gemeld: "Over the past 3-4 years, the maintainer of these lists has worked 7 days a week, 10-12 hours a day running these lists and handling all tasks and email associated with them. Not a single day has passed without at least processing delisting requests (the bare minimum). And then there was the day job (which was really nothing more than running an ISP's server farm - peanuts, it's FreeBSD)." Met andere woorden, dit doe je niet even zomaar 'erbij'... Teun -- ---------------------------------------------------------------------- Luna.nl B.V. ---------------------------------------------------------------------- Puntegaalstraat 109 Postbus 63000 Tel : (010) 750 2000 3024 EB ROTTERDAM 3002 JA ROTTERDAM Fax : (010) 750 2002 www.luna.nl luna at luna.nl Helpdesk: (010) 750 2020
Hi!
Alleen via AMS-IX zou kunnen. We kunnen er een klein netje IP space voor aanvragen en die alleen naar peers announcen.
Als we een aantal enthausiaste luitjes hebben die inzien dat het wegvalen van die lijsten een gemis zal worden kunnen we wellicht zelf iets opzetten. Mischien met hulp van Ben zelf, wellicht op een iets andere manier. Sabri is ook met iets bezig vertelde hij.
Wat houdt het bijhouden precies in? Hoeveel tijd is Ben daar mee kwijt? Hoe zouden we dat kunnen verdelen over meerdere mensen?
In wat discussies op de spamassassin-talk mailinglist werd hier wel iets over gemeld:
"Over the past 3-4 years, the maintainer of these lists has worked 7 days a week, 10-12 hours a day running these lists and handling all tasks and email associated with them. Not a single day has passed without at least processing delisting requests (the bare minimum). And then there was the day job (which was really nothing more than running an ISP's server farm - peanuts, it's FreeBSD)." Met andere woorden, dit doe je niet even zomaar 'erbij'...
Nee, maar als we dit als community doen moet het volgens mij te behapstukken zijn. Bye, Raymond.
On Mon, 2003-11-24 at 14:21, Raymond Dijkxhoorn wrote:
Hi! [...]
"Over the past 3-4 years, the maintainer of these lists has worked 7 days a week, 10-12 hours a day running these lists and handling all tasks and email associated with them. Not a single day has passed without at least processing delisting requests (the bare minimum). And then there was the day job (which was really nothing more than running an ISP's server farm - peanuts, it's FreeBSD)." Met andere woorden, dit doe je niet even zomaar 'erbij'...
Nee, maar als we dit als community doen moet het volgens mij te behapstukken zijn.
Inderdaad. Dus eerst eens kijken wie er geinteresseerd is in zo'n dienst, en eraan mee wil helpen. Dan kun je eens kijken naar een 'strijdplan' en taakverdeling. Teun -- ---------------------------------------------------------------------- Luna.nl B.V. ---------------------------------------------------------------------- Puntegaalstraat 109 Postbus 63000 Tel : (010) 750 2000 3024 EB ROTTERDAM 3002 JA ROTTERDAM Fax : (010) 750 2002 www.luna.nl luna at luna.nl Helpdesk: (010) 750 2020
Hoi, | We zouden kunnen denken aan nameservers alleen beschikbaar via AMS-IX, | of anders via rsync, maar das slechts hardop denken. Ik gebruik hem bij tijd en wijlen. Ik heb nog een /27 PI space klaarstaan die ik zou gaan gebruiken voor SixXS binnen BIT. Hier kan ik zonder problemen wel een IP met tinydns/nsd gaan draaien met die lijst erin. Moet je wel die /27 accepteren van me, want hij gaat niet naar onze transit providers (wegens ddos bescherming van een eventuele SixXS tunnelserver). groet, Pim -- __________________ Met vriendelijke groet, /\ ___/ Pim van Pelt /- \ _/ Business Internet Trends BV PBVP1-RIPE /--- \/ __________________
participants (6)
-
alex@bit.nl -
bvisser-nlnog@xs4all.nl -
pim@bit.nl -
raymond@prolocation.net -
sabri@cluecentral.net -
teun@luna.nl