[Nlnog] VIRBL

Tycho Eggen tycho at e-dude.org
Mon May 3 21:33:54 UTC 2004


On Mon, May 03, 2004 at 11:22:24PM +0200 Alex Bik(alex at bit.nl) wrote:
> On Mon, 3 May 2004, Teun Vink wrote:
> 
> > Word ik nu geblacklist als ik je een EICAR stuur? ;-)
> 
> Op dit moment kom je met Eicar inderdaad in de db. Dat kan ik er nog wel
> ff uit filteren.

je wil zowiezo zo weinig mogelijk false-positives hebben,
dus uberhaupt filteren op dergelijk is een goed idee.

>  > Een andere belangrijke vraag (naast die je al noemt op je site) is denk ik
> > hoe je om wilt gaan met die data: kun je _alle_ mail van iemand weigeren
> > omdat hij geinfecteerd is met een virus? In sommige gevallen wel denk ik
> > gezien de agressieviteit van sommige virussen, maar in andere gevallen is
> > het misschien wat twijfelachtiger.
> 
> Ik zou zeggen: Als iemand een virus stuurt -> IP in de database zetten.
> Als het niet zo'n aggressief virus is, is hij ook zo weer uit de
> database.

misschien een model gebaseerd op de bgp dampening?
met penalties en halverings waarde met intervallen?
als de counter voor dat ip beneden de threshold komt,
dan is 'ie niet meer actief, maar wel nog geregistreerd,
zodat ie zo weer "gepromoveerd" kan worden.

Just a lot of IMHOs and 0.02 euro.

Grtz,
    Tycho

-- 
Tycho Eggen             (Unix|Network|Social) Engineer
tycho at e-dude.org        +31 6 41 824 855
Jesus saves, but only Buddha makes incremental backups.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: not available
URL: <http://mailman.nlnog.net/pipermail/nlnog/attachments/20040503/3f83d6fd/attachment.pgp>



More information about the NLNOG mailing list