3. Если она его находит, то она его обрабатывает и удаляет файлы, которые были прописаны в нём.
А если там не прописаны файлы? Возьмите хотя бы conficker, который распространяется через флешки в том числе. Он в autorun.inf сразу свое тело записывает, а не ссылки. И когда винда начинает парсить такой специально сгенерированный autorun, то заканчивается это исполнением тела вируса, со всеми вытекающими последствиями
А вы хотите тоже его парсить. Тут уже подумать нужно, что бы этот парсинг не закончился также плачевно.
Во-вторых, смотря конечно чего вы добиться хотите. Но если хотите просто чтобы вирусы вас не беспокоили можно ведь дома отключить автозапуск для флешки, поставить патч KB950582 и вирусы больше не будут запускаться у вас дома, даже если там будет autorun.inf (хотя при этом они конечно не удалятся с флешки, но если это не критично можно и так оставить)
Думал про tarpit. Не приходилось доселе его использовать (кстати надо будет попробовать), но, если я не ошибасю, tarpit ведь держит атакующего максимально возможное время, т.е. не закрывает сессию, а сессия подразумевает использование tcp. А данная атака использует не tcp, а udp, здесь вообще нет установки соединения(сессии), а просто посылаются udp-пакеты, а дошли они или нет и сколько они провисели никого не волнует. Резюмируя могу сказать что tarpit в данном случае применить не получится.
Мой вам совет на будущее. Такие картинки (где немного цветов — до 256 и большие одноцветные области) эффективней всего сохранять в gif-формате. jpeg все-таки для фотографий придуман и алгоритм его сжатия в таких случаях либо снижает качество, либо много весит.
Да, это проблема. Метод, предложенный мной, кстати, работать будет только до тех пор пока атакующие не решат использовать другие запросы/типы запросов. Но пока этого не предвидится можно обойтись и так. К тому же если использовать для атаки тот же mx и gmail.com. Сразу встают несколько вопросов. Во-первых 55>17, а это значит лишний трафик атакующему, во-вторых mx сработает не на кого угодно, а только на крупных mail-серверах (которых явно меньше чем простых dns-серверов, разбросанных по сети), в-третьих на крупных mail-серверах есть гораздо больше возможностей для фильтрации и детектирования аномальной активности, да и вообще к ИТ-безопасности там относятся серьезней. Резюмируя все вышесказанное не думаю что злоумышленники решат пойти на такой шаг (imho)
Честно говоря я пока не проводил сравнение производительности сервера с/без правил, но думаю нагрузка снятая с bind все равно стоит того чтобы правила существовали, даже, если добавилась пара правил в iptables
А если там не прописаны файлы? Возьмите хотя бы conficker, который распространяется через флешки в том числе. Он в autorun.inf сразу свое тело записывает, а не ссылки. И когда винда начинает парсить такой специально сгенерированный autorun, то заканчивается это исполнением тела вируса, со всеми вытекающими последствиями
А вы хотите тоже его парсить. Тут уже подумать нужно, что бы этот парсинг не закончился также плачевно.
Во-вторых, смотря конечно чего вы добиться хотите. Но если хотите просто чтобы вирусы вас не беспокоили можно ведь дома отключить автозапуск для флешки, поставить патч KB950582 и вирусы больше не будут запускаться у вас дома, даже если там будет autorun.inf (хотя при этом они конечно не удалятся с флешки, но если это не критично можно и так оставить)
Можно было еще меньше, но речь шла о 20Кб
На этом предлагаю обсуждение этой ветви комментариев закрыть.
должно быть действительно 40