Атаки конкурентов, способные нанести вред вашему сайту: Mail Bounce DDOS

Я продолжаю тему атаки конкурентов на ваши сайты, и сейчас хочу рассказать о более сложной и более серьезной атаке, так называемый Mail Bounce DDOS.

Но сначала я хочу немного рассказать про один из способов, которым спаммеры собирают себе базы ящиков для спама.
Спаммеры бывают разные, и базы у них тоже разные. Некоторые собирают их по сайтам с помощью самописных краулеров. Другие — методом перебора вычисляют существующие почтовые ящики. А третьи, назовем их элитными, хотя это слово для спаммеров не примлемо, собирают базу реальных, живых людей, которые получают и читают спам.

Сначала спаммер выбирает несколько доменов-жертв, как правило, сервисов бесплатной почты локальных интернет-провайдеров, многие из которых имеют недостаточные средства для фильтрации спама. Причем выбирают как правило по регионам, чтоб сразу получить региональную базу потенциальных жертв.
Затем, пользуясь особенностью провайдеров, которые так или иначе «засвечивают» логины своих клиентов, генерирует список email-адресов вида логин@почтовый.сервер.isp.

Как именно ISP могут подсказать спаммеру логины своих клиентов?
Например, многие создают бесплатный хостинг для своих клиентов в виде логин.сервер.isp или сервер.isp/~логин. У многих логины на форуме ISP совпадают с их реальными логинами почтовых ящиков. И наконец, если ISP выдает реальный IP, то он очень часто имеет реверсивную запись DNS PTR в виде логин.сервер.isp

Итак, сначала спаммер находит недорогие хостинги, на которых открыты исходящие соединения от скриптов на 25-й порт удаленных серверов и c помощью скрипта dm.cgiначинает рассылку писем, причем каждое письмо снабжается уникальной ссылкой, по которой надо кликнуть, якобы для отписки от рассылки.
Нечего и говорить, что кликая по таким ссылкам, человек подтверждает то, что у него этот ящик рабочий и более того — на нем не фильтруется спам. Следовательно, такой человек будет получать и читать спам-письма, особенно если их содержимое как-то причастно к его региону.

Однако, как обычно, любая элитная технология, попавшая в руки школьников малограмотных спаммеров, спаммеров, становится большой проблемой.

Вместо того, чтоб тратить время и трафик на сбор базы логинов, малограмотный спаммер просто берет домены провайдеров и генерит списоквероятных ящиков по словарю. Один словарь спаммера может содержать в среднем 50 000 часто встречающихся логинов.

Рассылка по подобным базам приводит к тому, что в среднем на каждые 100 писем, только одно доходит до адресата, а остальные будут несуществующими. И это приводит к тому, что все эти письма начинают возвращаться отправителю. И тут происходит самое интересное!

Адрес отправителя можно указать какой угодно, в том числе и адрес и поток оповещений о недоставленных письмах хлынет лавиной в тысячи мусорных писем, забивающих ящик и перегружающий почтовый сервер. Не каждый хостер сможет выдержать подобную атаку и скорее всего заблокирует на время прием почты, а в худшем случае — вообще временно отключит сайт, так как поток Mail Bounce может достигать 100Mbps и полностью забивать канал к серверу.

Самое печальное, что несмотря на кажущуюся сложность, такой вариант будет в результате очень дешев и эффективен для конкурента:

  • Скрипт рассылки спама dm.cgi тысячами копий лежит на файлообменниках и скачать его не составит никакого труда
  • Множество дешевых хостингов, использующих популярные системы управления хостингом, таких как: cPanel/WHM,Plesk,DirectAdmin,ISPManager — по умолчанию позволяют подобным скриптам расслыку спама напрямую через сокеты, и наспамить по 50 000 адресов c такого хостинга можно меньше чем за 1$
  • Многие почтовые сервера ISP игнорируют SPF и DomainKeys

Что же делать, чтоб избежать или хотя-бы смягчить последствия Mail Bounce DDOS?

 

  • Используйте выделенный IP и принимайте на него почту — в случае проблем будет легко закрыть на время прием почты
  • Обязательно используйте SPF и DomainsKeys — это снизит уровень bounce трафика
  • Спросите техподдержку своего хостинга о возможных последствиях подобной атаки — какие последствия для сайта это может повлечь

 

Ну и наконец я могу предложить абсолютно бесплатно перенести почту кGoogle Mail, хотя это принесет ряд ограничений — например, число ящиков не более 50, есть лимит на отправку сообщений. Зато Google Mail отлично фильтрует подобного рода атаки. А если вдруг ограничения не устроят, то за 50$ в год вы получите надежную почтовую систему.