日本のISPでもOP25BをやっているISPが増えてきている。
私が勤務している会社のインフラにも半年くらい前から実装を開始している。
普通のISPは、アクセス回線を収容しているEdge Routerにて配下のIPレンジ
を送信元とする(動的なIPアドレスを割り振るレンジのみ=固定IPアドレスはのぞく)
25番ポートのパケットすべてFilterで落としている。
# それなりに頑丈なRouterでないと(Cisco72xxとかじゃだめ)このての高負荷
# 設定に苦労するようだ。
でも、ウチの場合網上に流れているop25のpacketについて以下のような方法
を用い、制限をかけている。
# 名付けるなら、op25b_limitって感じ
op25b_limitの挙動
1. Backbone Routerからop25bのpacketのみfilterで抽出
2. 抽出したpacketを全てport mirrorして、解析
3. 解析は、同一IPをソースするものでsmtpのセッションを大量に張っている
4. もしくは、同一IPをソースとするもので、smtpを大量に流しているで判断
5. 網側から被害を受けている or 与えている側にそれぞれなりすましsession resetを投げまくる
6. それぞれにとって見ると、先方から切断要求がきたようなrequest packet受け取っている
7. なので、徐々にlimitの閾値を厳しくすると自然にop25bがきいてくる。
ちょっと過激ですが、op25bをすぐにできないISPインフラには徐々にできるというメリット
がありそれなりに有効です。
ただ、閾値以下で流れるspamには別の対処が必要で、それはさらに過激な行動を
しないと防げません。orz
参考:
・op25Bをやっている国内ISP一覧
・OP25Bに纏わるJEAG Recommend
・ISP向けOP25B Recommend
・USでの事例 1
・USでの事例 2
・USでの事例 3
