[Nדר*ך]מהי מתקפת Directory Harvest Attack ואיך היא מתבצעת F2H הורדה ישירה מילים צלצול פלייבק רמיקס יוטיוב

מהי מתקפת Directory Harvest Attack ואיך היא מתבצעת

מתקפות Directory Harvest Attackk , מתבצעות בד"כ על ידי
ספאמרים שלא ממש "מתכוונים" לבצע את המתקפה, או לחלופין כחלק
מהתקפה על שרת דואר בידי האקר שיעמיס על השרת גם בצורה הזו.

המתקפה פועלת בצורה הבאה:

הספאמר (או ההאקר) , משתמש בתוכנה השולחת אימלים לשרת הדואר
כשבשדה ה "cc" (שדה המכותבים הנוספים) מתקיימת רנדומיזציה המבוססת
על שילוב של שמות הגיוניים שכנראה קיימים בשרת הדואר הממוען.

למשל, אני ספאמר שרוצה לשלוח למשתמשים של אינטרנט זהב לדוגמא
אני כותב (או משתמש ב) תוכנה ששולחת אימלים, כשלכל אחד מהם מצורף
בשורת ה to שלהם רשום orenzahav.net.il, ובנוסף - בשורת ה cc
מוסיף מספר רב של מכותבים:

oren1zahav.net.il
oren2zahav.net.il
....
oren78zahav.net.il
...
orenAzahav.net.il
orenBzahav.net.il

וכו' וכו'.

בעצם התוכנה לוקחת בסיס שמי אמיתי (למשל את השם הנפוץ oren), ומדביקה
לו צירופים אפשריים - וכך שולחת את הספאם לכל המכותבים האפשריים על
אותו בסיס.

עד כאן הכל טוב (ולא) יפה, אז איפה ההתקפה?

ובכן, כל שרת דואר שמקבל הודעה שהנמען שבה אינו מופיע אצלו, שולח בחזרה
אימל לכתובת ה "form" (שכמובן מזויפת - במקרה של התקפה\ספאם) עבור כל
אחד ואחד מהמכותבים שהיו ברשימת ה cc ואינם קיימים אצלו - ובה הוא מיידע
את הכותב שהמכתב המיועד לאותו ממוען אינו הגיע ליעדו משום שאין משתמש
כזה בשרת הדואר (שרת אקסציינג' 2003 למשל, ישלח בתגובה:
550 5.1.1 User unknown ).

כך שאם לדוגמא הספאמר שלח אימל בודד כזה, עם עשרות מכותבים שאינם
מופיעים בשרת הדואר המיועד, אותו שרת דואר אומלל צריך כעת לשלוח עשרות
הודעות בחזרה אל כותב ההודעה ....

( אגב, ספאמרים משתמשים בשיטה הזו גם כדי לנהל רשימה מסודרת של משתמשים
קיימים בשרת הדואר המסוים. כלומר, במקרה הזה הם לא מפציצים מידיי את שרת
הדואר, ולא מזייפים את ה form ובאמת מקבלים את הדואר חזרה שמספר להם שכתובת
זו אינה קיימת - וכך התוכנה שלהם שמקבלת את האימל הזה, מוחקת את הקומבינציה
התורנית שאינה קיימת, וממשיכה הלאה.. עד שקיים לה מאגר אימתני של שמות
מכותבים שכולם כולם אמיתיים. )


עכשיו תארו לכם תוכנת ספאם\התקפה, המבצעת כמה וכמה קונקשינים לאותו שרת
מכתובות IP שונות (כדי לא להיחסם), ומפציצה במקביל באלפי אימלים כאלה- כשכל
אחד מהם מכיל עשרות מכותבים ..
התוצאה: שרת הדואר מועמס קשות, ומלבד העומס המוטל עליו כרגיל, הוא גם נאלץ
לשלוח עשרות אלפי הודעות חזרה.. והנה לנו המתקפה המדוברת על שרת הדואר.

(במקרה של מתקפה מכוונת, ולא של ספאם - תוכנת השליחה תכלול בכוונה תחילה
משתמשים שאינם קיימים, בכדי לגרום ל100 אחוז אימלים חוזרים ובכך להעמיס
כמה שיותר על השרת )

האמת שסוג מתקפה זה, הוא נפוץ מאוד, ונגרם פחות בגלל כוונה אמיתית להזיק
ויותר בגלל שרתים רבים מידיי ששולחים ספאם בכמויות אדירות לכתובות שאינן
קיימות - בעיקר מול שרתי דואר של ISP (ספקי אינטרנט) , ושרתי דואר מבוססי
WEB (דוגמת YAHOO/GMAIL) שם נמצאים הרשימות הגדולות באמת.


מתקפה זו- במקרה הטוב ,מעמיסה מאוד על השרת וגורמת לעיכוב בשליחה\קבלה
עבור משתמשים אחרים באותו שרת דואר, ובמקרה הרע - יכולה לגרום לקריסה
מוחלטת של שירות הדואר מאחר והוא עסוק לחלוטין בשליחת הודעות חזרה...
ולא יכול לקבל ולשלוח הודעות אחרות במקביל.


איך להתגונן מפני מתקפת Directory Harvest Attack

ראשית, כמובן להגביל את מספר הקונקשינים (ה"סשנים") מאותו IP. כלומר,
שמכתובת IP מסוימת לא יוכלו לשלוח במקביל מעל 30 הודעות לדוגמא.

אבל זה כבר מתבצע ברוב השרתים בעולם, ולא תמיד מונע את המתקפה
משום שכל הודעה יכולה כאמור להכיל עשרות מכותבים ב cc , כל שכל אחת
מהשלושים שהזכרתי יכולה להכיל 50 מכותבים ב cc לדוגמא, ובחשבון פשוט
לגרום לשרת הדואר ל"פיק" של 1500 הודעות חזרה תוך 2 דקות..

כאן נכנס האלמנט הרלוונטי יותר למתקפה זו - והוא, הגבלת מספר ה cc, איך לא.
בכל שרת דואר ניתן להגביל את כמות ה cc שנשלחת אליו, פר הודעה. אבל גם
כאן, בהנחה שהגבלנו ל20-30 (ובמידה ובמדובר ב isp, הוא לא יכול להרשות
לעצמו להגביל לפחות מכמה עשרות..), עדיין מדובר בכמויות גדולות.

לכן, האלמנט האחרון שרצוי להפעיל בשרתי הדואר - הוא הגבלת מספר ה recipents
השגוים. ניתן ואף רצוי להגביל את מספר המכותבים השגוים פר הודעה, ולהתנהג
בהתאם - כלומר, להגדיר ב mail-relay לדוגמא, שאם ישנם יותר מ70 אחוז מכותבים
שגוים שימחק את ההודעה (וכמובן שלא ישלח הודעת ידוע חזרה בהתאם).