-=Жека=- (_zhecka_) wrote in ru_nospam,
-=Жека=-
_zhecka_
ru_nospam

Размышлизмы на тему smart honey pot

Сидел тут на досуге, просматривал статку антиспама и в голову пришла идейка.

Каждый из нас имеющий почтовый домен имеет энное количество паразитного трафика, причем данный паразитный трафик в части случаев направлен на несуществующие в домене адреса, например вот эти:
citronellaqdo@budo-sport.ru
wigglyhd7@budo-sport.ru
crewingqw4@budo-sport.ru
celestasz1@budo-sport.ru
initiativeszy7@budo-sport.ru
conversionz2@budo-sport.ru
convert4628@budo-sport.ru

Адресов с такими названиями никогда не было и скорее всего не будет в системе. Поэтому при попадании письма на этот адрес мы его можем классифицировать на 100%, что данный хост отправителя является членом ботнета и принимать данные с него не нужно. Простым статистическим анализом не прерывая работу нашего почтового сервера мы за определенное время соберем определенный список сетей и хостов участвующих в рассылке. Думаю идея не нова, но тут я предлагаю пойти дальше. Далее мы скажем создаём сервис по централизации таких адресов в базу(ясное дело с шифрованием и т.д.) и строим информационный сайт индексируемый поисковиками. Это может быть фейковый форум, новостная лента, любая страница на которой будут светиться данные адреса. Достаточно одного-двух серверов, с мордой написанной на rewrite, которая будет формировать бесконечное вложение данных на данном сервере и обеспечивать повышение цитируемости ресурса и популяризацию данной базы данных среди поисковых спамботов. Т.е. мы действуем средствами спамеров против самих спамеров. Данная система в первое время эксплуатации вызовет увеличение почтового трафика, но если скажем применить автоматическое формирование dnsbl списков или подключить блокировку на уровне firewall, то эффективность будет очень высокая. Для отсеивания левых хостов можно внедрить систему скоринга для каждого хоста отправителя, как это было сделано у меня в ddnsbl(использовался анализ результата спамассасина). Далее список этих хостов можно превратить в распределенную dnsbl сеть.
Вот такие мысли вслух.
  • Post a new comment

    Error

    Comments allowed for members only

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 21 comments