x8tty Dec 23 2019 at 14:34

DDoS-атака через социальную инженерию

6 min

17K

VDSina.ru corporate blogHostingInformation Security**nix*Server Administration*

+34

Comments 16

zhovner Dec 23 2019 at 14:57

Я сталкивался с похожей подлостью: ребята запускали проект и еще до анонса о нем прознали конкуренты и запустили спам-рассылку с упоминанием домена и подставлением его во from. В результате еще до старта проекта все почтовики помечали его как спам. Название пришлось поменять.

pae174 Dec 23 2019 at 18:23

Надо было сразу после регистрации домена настраивать в DNS записи SPF, DKIM и DMARC.
Конкуренты, скорее всего, и ни при чём вообще — просто чей-то спам-бот нашёл подходящий с его точки зрения домен и взял его в оборот.

zhovner Dec 23 2019 at 21:32

Это был проект связанный с криптовалютами, и очень многие коллеги испытывали те же проблемы. Дело совершенно точно не в плохих настройках, потому что домен указывался в теле письма, маскировался под ссылки с другим текстом и т.д. Так же параллельно запускался спам на форумах, как я понимаю из расчета на то, что поисковые системы будут понижать этот домен в выдаче.

bykvaadm Dec 23 2019 at 15:54

вы мало знакомы с инфобезом, если в 2019 году для вас эта атака — новость, о которой надо писать на хабр. Да и нет необходимости в "оооооочень криво настроенных серверах", достаточно snat прописать и всё

-6

mayorovp Dec 23 2019 at 16:00

Видимо, автором имелись в виду криво настроенные маршрутизаторы

x8tty Dec 23 2019 at 16:56

Я не претендую на эксклюзив, но на русском языке мне не удалось найти описаний этой атаки. К тому же, если атака популярна и известна, почему с её помощью удается обмануть хостеров вроде Digital Ocean?

ky0 Dec 23 2019 at 19:17

Потому что это проблема не хостеров, в общем-то, а интернет-провайдеров с криво настроенным сетевым железом. Следить за легитимностью сорс-адреса пакетов, пришедших откуда-то из интернета — не задача DE или кого-то ещё.

x8tty Dec 23 2019 at 21:39

Проблема, которая поднимается в статье, в том что хостера по сути вводят в заблуждение. Никакие поддельные пакеты до самого целевого сервера не долетают. Речь только о письмах.

Я не обсуждаю кто виноват в возможности спуфинга IP, а только возмущаюсь что из-за поддельных жалоб вас могут забанить, и что эти поддельные жалобы так легко спровоцировать.

ky0 Dec 23 2019 at 22:31

Вы не обсуждаете, но именно в этом и кроется причина возникновения таких вот «хитросоциальных» или более прямолинейных атак.

softwind Dec 24 2019 at 10:36

Формально — это проблема того, с кем у вас договор. Т.е. если вас отключают по причине того, что считают вашу активность вредительской, а оказывается, что они полагались на неверные выводы своих средств автоматизации, то они фактически попадают на компенсационные выплаты ввиду нарушения договора о предоставлении услуг.

Night_Snake Dec 24 2019 at 10:28

Ну после нашумевшего летом крупного DDoS на servers.com об этой истории даже в рунете можно найти информацию.
А самой атаке tcp amplification уже года три или четыре точно.

-3

KodyWiremane Dec 24 2019 at 21:54

А хостеры вроде DO не могут недельку трафик пологировать у пациента? Абузы пришли, признаков атаки с сервера пациента не обнаружено, оправдан по всем пунктам. Или им лениво?

UFO just landed and posted this here

andreysl Dec 23 2019 at 21:43

А что, у провайдера атакующего не знают про RFC 2827?

rfc2.ru/2827.rfc

zhovner Dec 23 2019 at 23:45

Много кто не знает, или сознательно разрешает спуфинг. Иначе откуда такое количество атак типа DNS-амплификации?

Gamliel_Fishkin Feb 3 2020 at 22:48

Хотелось бы узнать названия поступающих так хостеров. Чтобы обходить их стороной.