22 миллиона DNS-запросов в сутки — это 255 в секунду. Что соответствует штатному серфингу около тысячи одновременных абонентов, по моему опыту.
23 тысячи вредоносных — это 1 пакет в 4 секунды. С учетом данных от IDS/IPS это «DoS» пакеты.
Расскажите как ваше оборудование смогло выдержать такую нагрузку? И сколько денег все это стоило?
Выше не уточнялось, про какой DPI речь, я в частности про реестр запрещенных сайтов. Государство ввело закон по которому все операторы обязаны сделать пакость пользователям под страхом финансовых потерь. Разработчику который сидит на хорошей ставке вы что прикажете делать, поискать другую работу?
Внедряют люди подневольные. Это наемный персонал. Подневольными так же являются операторы связи. Среди них даже самые прожженные, которые, по возможности, стараются идти на встречу конечным пользователям горят несколько раз на штрафах по 30 000 р. за штуку, а потом все таки прогибаются под страхом отзыва телекоммуникационной лицензии. Таким образом воздействовать можно только на законотворцев, как не прискорбно.
Да, надо было сразу пояснить про рассылку. Она, естественно, имеет другой источник и сбербанковская SPF не используется. Письмо приходит с «левого» домена. Для того чтобы представиться правильно подставляется поле From: <vip@sberbank.ru>. SPF проверяется у gluck@mail.sendsay.ru и он естественно проходит проверку. Стандартный почтовый финт. Письмо даже под пристальным просмотром в почтовом клиенте не выдаст отправителя. Везде красуется только сбербанк.
SPF запись mail.sendsay.ru
host -t txt mail.sendsay.ru
mail.sendsay.ru descriptive text "v=spf1 include:spf.sendsay.ru -all"
Расследовать все легко, если вы следователь. Я сам сталкивался со случаями, когда расследование было завершено на стадии подачи заявления, а ход делу не давали. Взять любые мошеннические действия с утекающими через онлайн банкинги через вирусы/малвари/скрипты или «ваша карта заблокирована». Как правило всегда ответ от банка «это с вашего компьютера/мобильника/планшета действия а как эквивалент ваша воля, мы не видим тут противоправных действий и деньги не вернем». Хотя контрагенты это реальные физически/юридические лица, а не биткоин кошельки. Так же и тут, вы просто не заметите пропажи 500р.
Тоже как-то пользовался зумом браузера для удобства чтения, до тех пор пока не начал постоянно ругаться на верстальщиков каждого сайта, включая обычный, табличный html. Мол как можно так коряво делать свою работу? Пока не убедился, что это только я такой одаренный. Теперь каждый раз, как что-то куда-то поползло первым делом кликаю ctrl+0 (ноль), и всем советую.
Скорее всего CMHungry имел ввиду сброс пакетов на установку соединения, которые могут исходить только от сервера на юзерских портах. Легко реализуется по паттернам, например, на самом используемым в былые времена, да и сейчас не утратившем актуальности Dlink DES-3526 (L2). Аналогично в дроп можно отправлять все пакеты, которые исходят не от выданного абоненту IP-адреса.
руководство компании компенсировало часть потерь пострадавшему
Почему только часть потерь и какую? Расскажите, пожалуйста, точку зрения компании в данной ситуации. Спустя какое время клиент пожаловался? Какую часть средств удалось «отбить» у злоумышленников? Как быстро надо сообщить в поддержку для того, чтобы успеть отменить транзакции? Детектирует ли какое-либо антивирусное ПО этот вид зловредов?
Я не хотел ничего сказать по поводу того, хорошо это или плохо. Ради общего развития решил воспользоваться этим расширением, а когда установил, понял, что зря потерял время. Если бы вы предупредили, что расширение платное я бы сразу прошел мимо.
23 тысячи вредоносных — это 1 пакет в 4 секунды. С учетом данных от IDS/IPS это «DoS» пакеты.
Расскажите как ваше оборудование смогло выдержать такую нагрузку? И сколько денег все это стоило?
host -t txt mail.sendsay.ru
mail.sendsay.ru descriptive text "v=spf1 include:spf.sendsay.ru -all"
host -t txt spf.sendsay.ru
spf.sendsay.ru descriptive text "v=spf1 +ip4:81.9.34.128/25 +ip4:81.222.129.0/24 +ip4:81.222.217.0/24 +ip4:81.222.133.0/24 +ip4:81.9.46.0/24 +ip4:185.138.180.0/22 +ip4:185.76.232.0/22 +ip6:2a07:b40::/29 +ip6:2a05:5dc0::/29 ?all"
Delivered-To: my@modified.mail
Received: by mail.mymodified.domain (Postfix, from userid 5000)
id 953391E0C46; Fri, 6 May 2016 16:25:33 +0300 (MSK)
X-Spam-Checker-Version: SpamAssassin 3.3.1 on mail.mymodified.domain
X-Spam-Level: **
X-Spam-Status: No, score=2.2 required=5.0 tests=BAYES_60,HTML_MESSAGE,
MIME_HTML_ONLY,SPF_PASS,T_DKIM_INVALID autolearn=no version=3.3.1
Received-SPF: Pass (sender SPF authorized) identity=mailfrom; client-ip=81.222.129.23; helo=gato23.subscribe.ru; envelope-from=gluck@mail.sendsay.ru; receiver=my@modified.mail
Received: from gato23.subscribe.ru (gato23.subscribe.ru [81.222.129.23])
by mail.mymodified.domain (Postfix) with ESMTPS id 93E8A1E058D
for <my@modified.domain>; Fri, 6 May 2016 16:25:31 +0300 (MSK)
Received: id AE94ED3048A-1462541096
X-rpcampaign: sberbankimport2016050417203320160506162217
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=mail.sendsay.ru; s=sendsay.201502;
t=1462541096; bh=2M2ZxWnNlr3C6M3dajHUsSMlNsxmEYYNHW5ImW/0RXE=;
h=X-Felis-Queue-Id:Precedence:List-Id:List-Issue:List-Unsubscribe:
List-Subscribe:List-Archive:List-Post:X-Felis-L:Date:Message-Id:
From:To:Subject:X-Mailru-Msgtype:MIME-Version:Content-Type;
b=fLWfzPX32i0Ygnk6ZTLFqhH6szzpFzbp1RZ5zFnVNJPrZYuB9K+FNFgjzKwYHXa9+
AvF/hyu3pHH2nO+S5qPoFwiqbh4V2YxJMfxiKLS12zSLWBbtIHp7CkNcL/T+ZrO02j
TMf2zrY12VUuynT+ysMD0U5oAsc8gHBKc0N7hr/A=
List-Subscribe: NO
List-Archive: NO
List-Post: NO
Date: Fri, 6 May 2016 16:24:56 +0300
From: =?utf-8?Q?=D0=A1=D0=91=D0=95=D0=A0=D0=91=D0=90=D0=9D=D0=9A=20?=
=?utf-8?Q?=D0=A0=D0=9E=D0=A1=D0=A1=D0=98=D0=98?= <vip@sberbank.ru>
To: <my@modified.mail>
Subject: modified subject
X-Mailru-Msgtype: sendsay.sberbank
MIME-Version: 1.0
Content-Type: text/html;
charset=«utf-8»
host -t txt spasibosb.ru
spasibosb.ru descriptive text "v=spf1 a:mail.spasibosb.ru a:mail.cplsb.ru a:mail2.spasibosb.ru a:bounce.sbspasibo.ru ip4:91.224.14.146 ip4:91.224.14.200 ip4:95.213.151.27 include:sbspasibo.ru include:bounce.sbspasibo.ru -all"
Delivered-To: my@modified.mail
Received: by mail.mymodified.domain(Postfix)
id BE0121E0C82; Tue, 16 Aug 2016 15:40:29 +0300 (MSK)
X-Spam-Checker-Version: SpamAssassin 3.3.1 on mail.mymodified.domain
X-Spam-Level:
X-Spam-Status: No, score=-0.5 required=5.0 tests=BAYES_00,HTML_MESSAGE,
RP_MATCHES_RCVD,SPF_PASS,T_DKIM_INVALID,T_REMOTE_IMAGE autolearn=ham
version=3.3.1
Received-SPF: Pass (sender SPF authorized) identity=mailfrom; client-ip=91.224.14.146; helo=mail.sbspasibo.ru; envelope-from=modified@bounce.sbspasibo.ru; receiver=my@modified.mail
Received: from mail.sbspasibo.ru (mail.sbspasibo.ru [91.224.14.146])
by mail.mymodified.domain(Postfix) with ESMTPS id 92AC81E0BDB
for <my@modified.mail>; Tue, 16 Aug 2016 15:40:23 +0300 (MSK)
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=spasibosb.ru; s=mail;
h=Content-Type:MIME-Version:Date:Subject:To:From:Message-ID; bh=aGfLJMVn2kKxAKHClN1oq2a4vKIcmp0ESRFwfj6gs3o=;
b=ovEiBzv7qrG7Kb+a1jbe7XtXMLXKCm1u0o6ngORTVZoVqndPDT0z/sTUnD4PeKwtUlYj/IBlcjNNpr9nDwUJ5o8Ad338Xhrmdt6ZPkhtr4DdDZ7c8ojxUMDEmIx3x6V/JKMGoIStWE3IgQ/S7MW4Tka1q4V+V6yGd7BNoTkxtrcG2gtIynd6AukZKfCW7u1MRZbawZ8QGYsMj7Qbg0ZJfuALL0pxhtc3XbfdXlpEzfw1E+ckUyyYpwk7YwSG9IMpeksKV0jywIuTAp51JDtl04znUSaG9TjMvzHNRuT+FjktbYhTcP8gULn5RsasoZVXJMW9Qd1YANX5f4Kbhwjkjw==;
From: "=?utf-8?B?0KHQv9Cw0YHQuNCx0L4g0L7RgiDQodCx0LXRgNCx0LDQvdC60LAh?=" <digest@spasibosb.ru>
To: <my@modified.mail>
Subject: =?utf-8?B?0JTQviAyMCUg0KHQn9CQ0KHQmNCR0J4g0LfQsCDQv9C+0LrRg9C/0Lo=?=
=?utf-8?B?0Lgg0Log0YjQutC+0LvQtQ==?=
Date: Tue, 16 Aug 2016 15:43:34 +0300
MIME-Version: 1.0
Content-Type: multipart/alternative;
Сложно сказать, какая SPF запись была на момент ноября 15 года на sberbank.ru, но проверку spamassassin`а прошла:
Received: from Shark13.sberbank.ru (shark13.sberbank.ru [194.186.207.32])
by mail.modified.domain (Postfix) with ESMTPS id 3C7451E058D
for <my@modified.mail>; Mon, 16 Nov 2015 15:40:00 +0300 (MSK)
Received: from SPRING11.sigma.sbrf.ru (10.21.7.66) by Shark13.sberbank.ru
(10.21.6.32) with Microsoft SMTP Server (TLS) id 14.3.248.2; Mon, 16 Nov 2015
15:36:35 +0300
Received: from Ocean16.sigma.sbrf.ru ([fe80::1480:e5a9:4888:1b2f]) by
spring11.sigma.sbrf.ru ([::1]) with mapi id 14.03.0248.002; Mon, 16 Nov 2015
15:34:43 +0300
From: <sberbank@modified.mail>
To: <my@modified.mail>
Date: Mon, 16 Nov 2015 12:34:42 +0000
Message-ID: <Ocean16.sigma.sbrf.ru>
Accept-Language: ru-RU, en-US
Content-Language: ru-RU
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
x-originating-ip: [10.21.6.242]
x-kse-antivirus-interceptor-info: scan successful
x-kse-antivirus-info: Clean
Content-Type: text/plain; charset=«windows-1251»
Content-Transfer-Encoding: quoted-printable
MIME-Version: 1.0
X-KSE-AntiSpam-Interceptor-Info: internally-submitted e-mail
пруф
Почему только часть потерь и какую? Расскажите, пожалуйста, точку зрения компании в данной ситуации. Спустя какое время клиент пожаловался? Какую часть средств удалось «отбить» у злоумышленников? Как быстро надо сообщить в поддержку для того, чтобы успеть отменить транзакции? Детектирует ли какое-либо антивирусное ПО этот вид зловредов?
DAP-1650 revB
DIR-880L
DIR-865L
DIR-860L revA
DIR-860L revB
DIR-815 revB
DIR-300 revB
DIR-600 revB
DIR-645
TEW-751DR
TEW-733GR
Следовательно уязвима только минимальная часть устройств. Либо беспарольные/
взломанныечерез Wi-Fi.К слову, мне не удалось воспроизвести уязвимость через WAN, протестировав 2 сегмента сети. Не одного из 50 устройств, ответивших по 80/8080 порту.