MailBomber — программа для отправки огромного
количества сообщений на указанный e-mail.
Очень неприятно обнаружить в собственном
почтовом ящике 300-400 сообщений от разных
адресатов. Еще неприятней знать, что среди
них какое-то количество тех, которые нужно
принять. В этой статье я расскажу о
некоторых способах защиты от такого
вандализма.

1. В диспетчере сообщений (есть
практически во всех почтовых клиентах)
принять только заголовки писем. Посмотреть
заголовок хотя бы одного не нужного письма.
Запомнить IP-адрес. Отметить все на удаление.
Потом просмотреть весь список, выбрать
нужные, отметить на получение и получить их.
Потом через whois узнать провайдера и
написать ему. Если не поможет — написать
матом со всяческими угрозами :-). В принципе
не долго, но геморно. Особенно пункт "просмотреть
весь список и выбрать нужные сообщения".
Провайдеры обычно из-за пары баксов
удавятся. Поэтому отправителю ничего не
будет (скорее всего). Письма с угрозами и
предупреждениями можно не посылать.

Есть несколько "НО". Хорошие MailBomber-ы
не только ставят в поле обратного адреса
разные адреса, но и умеют подделывать
заголовок, прикидываясь пересылочным
почтовым сервером. Мало того, что обратный
адрес определить очень тяжело, так еще и
разные темы, размеры и аттачи сообщений.
Есть еще и SOCK-5 прокси. Или, допустим, у меня
есть на странице форма для отправки
сообщения. Написать многопоточный флудер с
использованием этой формы и простого http-прокси
не так и сложно. Запустить у себя или с шелла
и все. Запросы идут через прокси, а в
обратном адресе стоит адрес sendmail хостера.

2. Идея реализации защиты в том, чтобы
получать только заголовки сообщений и
заданное количество строк. Потом искать
вхождение определенной строки (в любом
случае какая-то одинаковая строка для всех
сообщений будет) и автоматически удалять
сообщения на сервере. Поговорим о способах
реализации.

2.1. Способ для юзера. Поставить The Bat!. В
последних версиях есть создание правил для
приема сообщений. Прописать правило.
Инициализировать диспетчер сообщений.
Плюсы: просто, как у ребенка леденец
отобрать (так говорят те, кто никогда этого
не пробовал). Минусы: каждый раз нужно
создавать новое правило, искать где оно там
в меню и The Bat! все-таки платный. Хотя
программа настолько хороша, что можно и не
пожлобиться.

2.2. Способ для хакера. Написать скрипт.
Скрипт будет получать часть сообщений,
искать вхождение искомой строки и удалять,
удалять, удалять. Сунуть туда, где он
исполнится. Плюсы: не юзает твой траффик.
Минусы: надо иметь место, где он исполнится.
Вот самый простейший пример на Perl (необходим
модуль Mail::POP3Client), который просматривает
сообщения и удаляет все, в которых
содержится "stroka": 

#!/usr/bin/perl
use Mail::POP3Client;

$user = "user";
$password = "password";
$host = "pop3.domain.com";
$stroka = "127.0.0.1"

$pop = new Mail::POP3Client( USER => $user, PASSWORD => $password, HOST
=> $host );
for( $i = 1; $i <= $pop->Count(); $i++ ) 
{
foreach( $pop->HeadAndBody( $i ) ) 
{
chomp $stroka;
if (/$stroka/) 
{
$pop->Delete( $i );
}
}
}
$pop->Close(); 

Можно чуть усложнить: сделать вывод
сообщений, дописать получение $user, $password, $host,
$stroka из формы и т.д. Но все равно надо
получить почтовым клиентом или telnet-ом
парочку сообщений для определения строки
вхождения.

2.3. Настоящие герои всегда идут в обход.
Может под рукой не будет Perl или места, где
вышеописанный скрипт надо будет запустить.
Попробуем самим написать программу с
использованием неблокирующего сокета. Тем
более, что рабочие исходники простейшего
клиента, работающего на TCP/IP, всегда должны
быть под рукой. Почему на асинхронном
сокете? Плюсы: не надо покупать The Bat!, не
нужен шелл, Perl и т.п., к тому же разминка в
кодинге никогда не помешает. Минусы: надо
писать :-), использовать немного своего
траффика и Delphi (который стоит чуть-чуть
дороже The Bat! :-)). На самом деле Delphi покупать
не обязательно. Функции работы с сокетами
практически одинаковы на всех языках и
системах. Переписать нижеследующий код на
разновидность C или асма достаточно просто.
Итак, создаем новый проект с одним окном и
кидаем на форму 4 Edit-а (закладка Standart; юзер,
пароль, POP3-сервер и строка вхождения), 2 SpinEdit-а
(закладка Samples; тайм-аут и количество
получаемых строк кроме заголовка), 1 Button (старт/стоп)
и несколько Label-ов (чтоб потом ничего не
напутать). Нужные нам команды POP3-сервера:
USER — юзер;
PASS — пароль;
STAT — информация откуда получим кол-во
сообщений;
TOP — получение заголовка и указанных строк
выбранного сообщения.

Вот исходники "Unit1.pas" (Delphi32): 

var
Form1: TForm1;
StartD : Boolean = false;
addr : TSockAddrIn;
IPaddr : Cardinal;
s : TSocket;
WSAData : TWSAData;
Buf : array [1..4096] of Char;
BoolS : Byte;
sock_on, sock_off : Integer;

implementation

{$R *.DFM}

// функция отправки
почтовому серверу строки str

function postsend(str:string) : Boolean;
var
I1 :integer;
begin
Result:=false;
for I1:=1 to Length(str) do if send(s,str[I1],1,0)=SOCKET_ERROR then exit;
Result:=true;
end;

//Start/Stop
procedure TForm1.Button1Click(Sender: TObject);
var
DopS : String;
I1, DopI, DopI1 : Integer;

label l3, l2, l1;

//Перевод адреса в DWORD
function dns_addr(IPaddr : String) : Cardinal;
var
pa: PChar;
sa: TInAddr;
Host: PHostEnt;
begin
Result:=inet_addr(PChar(IPaddr));
if Result=INADDR_NONE then begin
host:=GetHostByName(PChar(IPaddr));
if Host = nil then exit
else begin
pa := Host^.h_addr_list^;
sa.S_un_b.s_b1 := pa[0];
sa.S_un_b.s_b2 := pa[1];
sa.S_un_b.s_b3 := pa[2];
sa.S_un_b.s_b4 := pa[3];
with TInAddr(sa).S_un_b do Result:= inet_addr(PChar(IntToStr(Ord(s_b1))+’.’+IntToStr(Ord(s_b2))+’.’
+IntToStr(Ord(s_b3))+’.’+ IntToStr(Ord(s_b4))));
end;
end;
end;

//select на сокет и тайм-аут
function postselect(s1 : TSocket; TimeS1 : Integer) : Boolean;
var
tvS : TTimeVal;
rfdsS : Tfdset;
begin
Result:=true;
//
Ждем пока не сможем
принять или тайм-аут 

while true do begin
//
Если отмена — выход
if not StartD then begin
Result:=false;
exit;
end;
Sleep(100);
//
Обнуляем дескриптор
сокетов 

FD_ZERO(rfdsS);
FD_SET(s1,rfdsS);
tvS.tv_sec:=0;
tvS.tv_usec:=100;
//
select-ируем сокет 
select(0,@rfdsS,nil,nil,@tvS);
TimeS1:=TimeS1-100;
//
Если можно читать —
выход и читаем 

if FD_ISSET(s1,rfdsS) then exit;
//
Если тайм-аут — выход
с false 

if TimeS1<=0 then begin
Result:=false;
exit;
end;
end;
end;

begin
if StartD then StartD:=false else begin
//
Начали
StartD:=true;
Form1.Button1.Caption:=’Stop’;
//
Создание сокета
sock_on:=1;
sock_off:=0;
if WSAStartUp(257, WSAData) <> 0 then goto l1;
s := socket(AF_INET,SOCK_STREAM,IPPROTO_IP);
if s = INVALID_SOCKET then goto l1;
if dns_addr(Form1.Edit1.Text)<=0 then goto l1;
//
Переход в
неблокирующий режим

ioctlsocket(s,FIONBIO,sock_on);
addr.sin_family := AF_INET;
addr.sin_port := htons(110);
addr.sin_addr.S_addr:=dns_addr(Form1.Edit1.Text);
//
Соединение
connect(s,addr,sizeof(addr));
if not postselect(s,Form1.SpinEdit2.Value) then goto l2;

// Получим ответ
сервера

FillChar(Buf,4096,0);
recv(s,buf,sizeof(Buf),0);

// USER
if not postsend(‘user ‘+Form1.Edit2.Text+#13+#10) then goto l2;
if not postselect(s,Form1.SpinEdit2.Value) then goto l2;
FillChar(Buf,4096,0);
I1:=recv(s,buf,sizeof(Buf),0);
if (I1>0)and(buf[1]<>’+’) then goto l2;

// PASSWORD
if not postsend(‘pass ‘+Form1.Edit3.Text+#13+#10) then goto l2;
if not postselect(s,Form1.SpinEdit2.Value) then goto l2;
FillChar(Buf,4096,0);
I1:=recv(s,buf,sizeof(Buf),0);
if (I1>0)and(buf[1]<>’+’) then goto l2;

// Количество сообщений
(STAT)

if not postsend(‘stat’+#13+#10) then goto l2;
if not postselect(s,Form1.SpinEdit2.Value) then goto l2;
FillChar(Buf,4096,0);
I1:=recv(s,buf,sizeof(Buf),0);
if (I1>0)and(buf[1]<>’+’) then goto l2;
DopS:=trim(Buf);
DopS:=Copy(Buf,5,length(DopS)-5);
if Pos(‘ ‘,DopS)>0 then DopS:=copy(DopS,1,Pos(‘ ‘,DopS)-1);
DopI:=StrToInt(DopS);

// DopI = кол-во сообщений.
Запускаем цикл если > 0

if DopI>0 then begin
for DopI1:=1 to DopI do begin
//
Получим заголовок и
указанное кол-во строк сообщения

if not postsend(‘top ‘+IntToStr(DopI1)+’ ‘+IntToStr( Form1.SpinEdit1.Value)+#13+#10)
then goto l3;
if postselect(s,Form1.SpinEdit2.Value) then begin
FillChar(Buf,4096,0);
recv(s,buf,sizeof(Buf),0);
//
Если встречаются
вхождения — удалим

if Pos(Form1.Edit4.Text,Buf)>0 then begin
postsend(‘dele ‘+IntToStr(DopIl)+#13+#10);
if not postselect(s,Form1.SpinEdit2.Value) then goto l3;
FillChar(buf,4096,0);
I1:=recv(s,buf,sizeof(Buf),0);
if (I1>0)and(buf[1]<>’+’) then goto l3;
break;
end;
end;
//
Следующее сообщение
l3:
dec(DopI);
end;
postsend(‘quit’+#13+#10);
end else ShowMessage(‘0 message’);
end;
l2:
ioctlsocket(s,FIONBIO,sock_off);
closesocket(s);
l1:
StartD:=false;
Form1.Button1.Caption:=’Start’;
end;

end.

Ради уменьшения размера исходника, здесь
нет обработки ошибок, не совсем корректно
сделан "Stop" и прием ограничен 4096 байт,
но всё более или менее работает. Дописать не
проблема. Теперь как человек ни будет
изменять настройки MailBomber-а, писать сам
скрипты и программы, потеть и тратить свой
траффик или шелл на то, чтобы тебя зафлудить
— защита займет всего ~ 1-2 kB входящих данных
на каждое сообщение (при способе 2.3) и
несколько минут на настройки. Естественно,
способ 2.3 подходит для сравнительно
небольшого количества сообщений. Если же
атака осуществляется с шелла или
многопоточным флудером, то писем может быть
несколько тысяч. Тогда предпочтительней
способ 2.2.

Если же у человека есть список из
нескольких сот работающих прокси-серверов,
несколько шеллов, серверов с sendmail и формами
для отправки сообщений, мощная выделенка и
большой список с разными сообщениями,
темами, обратными адресами и т.д., то так
просто ты не отделаешься. Мыло тебе вряд ли
удастся сохранить. Можно конечно стукнуть в
CyberPolice, но…. Не красиво это. Хотя, можно всем
кто пишет сказать, чтобы вставляли в первую
строчку какую-то определенную фразу и
удалять все сообщения без этой фразы. В
общем, варианты есть.

antimb.zip —
исходники и программа, рассмотренные в
статье.

Оставить мнение

Check Also

Кардинг и «чёрные ящики». Разбираемся с главным на сегодня способом взлома банкоматов

Стоящие на улицах города железные коробки с деньгами не могут не привлекать внимание любит…