DHA attack - Privacy en beveiliging

woensdag 2 april 2008 14:37

Acties:

Topicstarter

Hoi,

De afgelopen 5 dagen is onze mailserver het slachtoffer van DHA attacks. We hebben hier in het verleden al meerdere keren last van gehad maar nu is het echt erg. Momenteel krijgen we iets van een 350 000 mails per uur binnen.

Gelukkiglijk hebben we een degelijke spamfilter die DHA afblocked. Toch zitten we met een vertraging van ong. 30min, wat enorm frustrerend is.

De mailservers die de attacks versturen komen van over heel de wereld: India, Columbia, China, Japan,... per ong. 200 mails veranderd het van mailserver.

Heeft iemand soms enig idee hoe je deze volledig kan afblocken? Zijn er soms instanties waar je dit soort praktijken kunt melden?

Ik ben aan het overwegen om het wan IP adres van de mailserver te laten wijzigen, maar ik veronderstel dat de DHA attacks toch via DNS binnenkomen...

woensdag 2 april 2008 15:54

Acties:

Verwijderd

"Various solutions have been developed toward repelling these attacks. Some of the most effective involve slowing down the rate at which the attack can take place, rather than attempting to filter out the entire attack. This can be done by limiting the number of e-mail messages per minute or per hour at which a server can receive messages, legitimate or otherwise."

Misschien een idee...?

woensdag 2 april 2008 15:57

Acties:

LeVortex

dan krijgen ze de mail de ze willen hebben toch ook niet??

edit: de bedrijfsmail zeg maar.. Of krijgen die dan ook niet een super hoge delay, nog hoger dan de normale?

[ Voor 49% gewijzigd door LeVortex op 02-04-2008 16:10 ]

woensdag 2 april 2008 16:11

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Dan wordt het dus geen DHA, maar bewust opgewekte dDoS

De servers zijn in ieder geval bij de standaard spamlijsten aan te melden, maar actief tegengaan zonder dat je veel hams blokkeert is lastig als het om de paar mails al rouleert.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

woensdag 2 april 2008 21:47

Acties:

Brahiewahiewa

boelkloedig

Techniek om DHA's te frustreren heet "tarpitting": een bestaand e-mail adres accepteer je meteen; de melding dat een e-mail adres niet bestaat geef je pas na x minuten. Voor Windows en Exchange server vind je SMTP tar pit feature for Microsoft Windows Server 2003. Voor andere mailers is het vast ook wel te vinden

QnJhaGlld2FoaWV3YQ==

donderdag 3 april 2008 07:25

Acties:

satel

Topicstarter

Tarpitting lijkt me niet direct een goede oplossing want indien je pas een melding geeft na x minuten wilt het ook zeggen dat de connectie blijft open staan. Als je de connectie onmiddellijk dropped na het checken van het emailadres van de bestemmeling beperk je de load tot het minst.

We beschikken over een hardwarematige antispam bak http://www.sonicwall.com/benelux/197.html, momenteel wordt er eerst gechecked of de antispambak het domein vd bestemmeling mag relayen en daarna kijkt hij via ldap of het emailadres wel degelijk bestaat. Zoniet dropped ie onmiddellijk de connectie.

Zoals F_J_K zei hebben we eigenlijk niet meer te maken met een DHA attack maar met een ddos. De connectie met de connecterende mailservers duren telkens maar een paar miliseconden maar omdat ze met zoveel tegelijk connecteren tegen een razendsnel tempo trekt het toch nog de bak naar beneden.

De perfomantie is na lang klungelen enorm gestegen na het verlagen van de logging level vd spambak en het veranderen van IP adres van onze mailserver.