2006年8月31日

トラックバックSPAM送信元IPアドレス分析

/24マスクと/16マスクでSPAM送信元のIPアドレスのばらけ具合にどれほど差があるか見てみた。

# cat  access.log|grep -e "30/Aug/2006:"|grep mt-tb.cgi|awk 'FS="." {print $1"."$2"."$3;}'|sort |uniq -c|sort -k1 -nr|wc
    613    1226   11528
# cat  access.log|grep -e "30/Aug/2006:"|grep mt-tb.cgi|awk 'FS="." {print $1"."$2;}'|sort |uniq -c|sort -k1 -nr|wc
    475     950    7281

むー、/16にしても、そんなに集約されないなぁ。

SPAM送信元もロングテールなのか(^^;

投稿者 his : 2006年8月31日 03:42
このエントリーのトラックバックURL: http://hoop.euqset.org/blog/mt-tb2006.cgi/45180
コメント

こんな↓風にして、そのまま/var/lib/iptables/activeに書き加え。

cat access.log access.log.1|grep mt-tb.cgi/|grep POST|awk 'FS="." {print $1"."$2"."$3;}'|sort |uniq -c|sort -k1 -nr|awk '$1 > 10 {print "[0:0] -A INPUT -i eth0 -s "$2".0/24 -p tcp --dport 80 -j DROP";}'

grep POSTを入れないと、viewでくる人まで弾いちゃう。

Posted by: his : 2006年9月 3日 18:14
コメントする









名前、アドレスを登録しますか?





画像の中に見える文字を入力してください。