[MASOCH-L] Guerra aos IPs dinâmicos

Danton Nunes danton.nunes at inexo.com.br
Tue Apr 18 14:33:47 BRT 2017 

On Tue, 18 Apr 2017, Leandro wrote:

> Danton. Refletindo melhor sobre o assunto, percebi que essa técnica do
> "rastro de pólvora" só afeta IPs com reverso. Portanto o método é seguro,
> desde que eu consiga registrar com precisão os padrões de reverso
> utilizados em residências, tanto para IPv4 ou IPv6. Eu acho importante
> atacar o problema no IPv6 também, pois vai que a cafeteira do sujeito
> acorda de mau humor e descarrega toda sua ira na porta 25. Não é verdade?
> :-)
>
> Ai o problema vai ficar restrito aos IPs sem reverso mesmo. Paciência!

eu não vejo por que cadastrar reversos em IPv6, a não ser para endereços 
notáveis. por outro lado a ausência de reverso pode ser uma pista de que 
se trata de usuário final e não um MTA, mas só uma pista, porque também 
nada obriga a um MTA ter seu(s) endereço(s) com reverso bonitinho.

então, acho que esse critério pode ser usado para atribuir pontos em vez 
de determinar um bloqueio definitivo.

os endereços SLAAC são facilmente identificáveis porque carregam a 
assinatura 0xFFFE a partir do bit 80 até o 95 (contando os bits a partir 
de zero e da ponta mais significativa do endereço). Bloquear ou atribuir 
uma nota de suspeita a um endereço SLAAC pode ser uma boa política. 
Dificilmente um servidor de verdade tem um endereço assim, normalmente tem 
endereços estáticos. note que um teste como este não requer sequer uma 
consulta de DNS e pode até ser implementado pelo firewall, se a opção for 
pelo bloqueio, mascarando o campo do endereço. (p.ex. com ip6tables no 
Linux)

outro tipo de endereço que pode indicar que se trata de usuário final e 
não um servidor válido é o definido na RFC-4941. estes são mais difíceis 
de identificar, por não terem um padrão fixo como é o caso do SLAAC. 
entretanto, por conta mesmo da forma como são gerados, tem alta entropia, 
aproximadamente metade dos bits em zero, como não costuma ser o caso com 
endereços de servidores válidos. de qualquer forma melhor não usar isto 
como critério de bloqueio, mas sim de pontuação. 64bits muito "aleatórios" 
no rabo do endereço IP, mais x pontos de suspeita de spam.

a entropia de uma mensagem é H=-Soma(i)[Pi log2(Pi)], no nosso caso i pode 
ser 1 ou 0. P0 = númerio de zeros / 64, P1 = número de uns / 64 = 1-P0, 
logo H = - ( P0 log2(P0) + (1-P0) log2(1-P0) ) Quando as quantidades de 
uns e zeros são iguais, H=1. Quando todos os bits são iguais H=0.

-- Danton

More information about the masoch-l mailing list