Как стать автором
Обновить

Комментарии 16

Я сталкивался с похожей подлостью: ребята запускали проект и еще до анонса о нем прознали конкуренты и запустили спам-рассылку с упоминанием домена и подставлением его во from. В результате еще до старта проекта все почтовики помечали его как спам. Название пришлось поменять.
Надо было сразу после регистрации домена настраивать в DNS записи SPF, DKIM и DMARC.
Конкуренты, скорее всего, и ни при чём вообще — просто чей-то спам-бот нашёл подходящий с его точки зрения домен и взял его в оборот.
Это был проект связанный с криптовалютами, и очень многие коллеги испытывали те же проблемы. Дело совершенно точно не в плохих настройках, потому что домен указывался в теле письма, маскировался под ссылки с другим текстом и т.д. Так же параллельно запускался спам на форумах, как я понимаю из расчета на то, что поисковые системы будут понижать этот домен в выдаче.

вы мало знакомы с инфобезом, если в 2019 году для вас эта атака — новость, о которой надо писать на хабр. Да и нет необходимости в "оооооочень криво настроенных серверах", достаточно snat прописать и всё

Я не претендую на эксклюзив, но на русском языке мне не удалось найти описаний этой атаки. К тому же, если атака популярна и известна, почему с её помощью удается обмануть хостеров вроде Digital Ocean?

Потому что это проблема не хостеров, в общем-то, а интернет-провайдеров с криво настроенным сетевым железом. Следить за легитимностью сорс-адреса пакетов, пришедших откуда-то из интернета — не задача DE или кого-то ещё.

Проблема, которая поднимается в статье, в том что хостера по сути вводят в заблуждение. Никакие поддельные пакеты до самого целевого сервера не долетают. Речь только о письмах.


Я не обсуждаю кто виноват в возможности спуфинга IP, а только возмущаюсь что из-за поддельных жалоб вас могут забанить, и что эти поддельные жалобы так легко спровоцировать.

Вы не обсуждаете, но именно в этом и кроется причина возникновения таких вот «хитросоциальных» или более прямолинейных атак.
Формально — это проблема того, с кем у вас договор. Т.е. если вас отключают по причине того, что считают вашу активность вредительской, а оказывается, что они полагались на неверные выводы своих средств автоматизации, то они фактически попадают на компенсационные выплаты ввиду нарушения договора о предоставлении услуг.
Ну после нашумевшего летом крупного DDoS на servers.com об этой истории даже в рунете можно найти информацию.
А самой атаке tcp amplification уже года три или четыре точно.
А хостеры вроде DO не могут недельку трафик пологировать у пациента? Абузы пришли, признаков атаки с сервера пациента не обнаружено, оправдан по всем пунктам. Или им лениво?
НЛО прилетело и опубликовало эту надпись здесь
А что, у провайдера атакующего не знают про RFC 2827?

rfc2.ru/2827.rfc
Много кто не знает, или сознательно разрешает спуфинг. Иначе откуда такое количество атак типа DNS-амплификации?
Хотелось бы узнать названия поступающих так хостеров. Чтобы обходить их стороной.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.