Dois milhões de spam por dia

Você já enfrentou 2 milhões de spam ao dia?

Essa semana um cliente abriu chamado no nosso suporte e disse que o gráfico principal tinha algum problema…

Aparecia mais ou menos 2 milhões de spams bloqueados.

A primeira reação do nosso suporte foi pensar que era mesmo um problema de indexação ou no banco de dados.

Normalmente o tráfego desse cliente era 90 mil emails por dia.

Mas ao “começarmos a escovar bit” nosso suporte começou varrer os logs e ver um tráfego absurdo vindo de IPs da Rússia.

E para surpresa era um ataque mesmo…um DDoS de spam multiplicou por mais de 20x o tráfego do cliente.

Mais surpresa ainda foi que o cliente disse que os usuários não reclamaram e que os emails não estavam atrasando nem nada disso…

Parece “conto para boi dormir”, mas foi o admin que percebeu no dia seguinte ao ver o gráfico “estourado” na interface principal…

Bom, isso significa que a ferramenta funcionou…que a camada anti-DDoS funcionou mesmo..

O impressionante é que nem a CPU deu picos de consumo..

Mas como é feito isso?

A resposta é: entendendo o comportamento da conexão SMTP.

O protocolo de e-mail é como uma conversa…precisa ter saudação, dizer quem é, dizer se já se conhecem, dizer do que se trata, quando tempo pode durar a conversa…

Também precisa dizer para terminar a conversa e por fim se despedir…mas principalmente esperar a vez de falar…hehe.

Costumamos dizer aqui internamente que num ataque DDoS os sujeitos são mal educados…hehe.

A conexão do SMTP chega sem saudação, se atropela a vez de falar, as vezes diz o que vai falar, depois diz quem é, as vezes faz saudação e não fala nada…e por aí vai…

Assim a ferramenta precisa saber diferenciar uma conexão de um servidor de e-mail legítimo ou se é um botnet mal educado mandando bala.

Entendo esse comportamento a ferramenta precisa penalizar o ataque após a primeira “conversa”…e vai aumentando a penalização conforme o ataque vai insistindo.

Esperamos que este post tenha trazido alguns insights para você. Bom trabalho!


PS: Se você é Gerente de TI ou analista e está envolvido com Cyber Segurança na sua empresa, temos uma lista exclusiva com Boas Práticas e Procedimentos que NÃO publicamos no blog. Se quiser receber esse material exclusivo por favor deixe seu email abaixo:

2018-10-05T00:59:18+00:00