[MASOCH-L] dom?nios que parecem terem sido criados para mandar spam

[Danton Nunes]

On Thu, 30 Apr 2015, Leandro Carlos Rodrigues wrote:

> A gente utiliza esta técnica para consultar o campo ownerid do WHOIS. 
> Funciona muito bem e conseguimos pegar vários casos de spammer com domínios 
> múltiplos. Mas as vezes acontece justamente isso que você disse: o 
> registro.br bloqueia depois de muitas consultas e a gente precisa solicitar a 
> eles o desbloqueio. A gente faz o cache local mas o volume de consultas 
> flutua demais e as vezes ultrapassa o limiar deles. Da mesma forma que a 
> gente faz isso para o owneid, daria para fazer para o CIDR, o owner-c como o 
> Danton gostaria, etc.

sim, em parte é isso o que eu queria dizer com whois não é DNS.

> Uma solução para o problema seria o registro.br disponibilizar um meio de 
> fazer estas consultas sem bloqueio ou eles disponibilizarem a base de dados 
> completa deles periodicamente. Eu já  tentei convencer eles a fazerem isso 
> mas eles não entenderam o propósito e acharam que seria muito trabalho para 
> eles e sem resultado.

se isso fosse disponibilizado na forma de um serviço DNS à la lista negra, 
ou lista de reputação seria melhor ainda.

> Outra solução seria a gente se juntar para criar um servidor cache de 
> consulta WHOIS. Uma vez implementado, bastaria fazer o seguinte: faz a 
> consulta neste servidor e, se retornar o resultado, use ele, senão o próprio 
> terminal que fez a consulta faria uma outra consulta no WHOIS, pegando os 
> campos de interesse e em seguida submeter o resultado no servidor de cache. 
> Dá um pouco de  trabalho para implementar mas uma vez implementado, o volume 
> de consulta ao WHOIS seria diluindo entre todos os terminais participantes e 
> a probabilidade de algum ser bloqueado seria bem pequena. Mas caso aconteça o 
> bloqueio do terminal, daria para solicitar que o proprio servidor de cache 
> fizesse a consulta no WHOIS para extrair as informações necessárias. Como a 
> probabilidade seria pequena de bloqueio do terminal, o volume de solicitação 
> de consulta pelo próprio servidor de cache seria pequena, e por consequência 
> a probabilidade dele próprio ser bloqueado também. Esta solução não depende 
> do registro.br mas somente de nós. A gente poderia fazer um protótipo e 
> testar para ver como isso funcionaria na realidade e quais são as implicações 
> de fato.

e se os servidores de cache formassem uma rede colaborativa, então, 
ficaria ainda mais leve para o servidor do whois. e o interessante no caso 
é que não se limitaria ao registro.br, mas a qualquer nome/endereço IP (v4 
e v6!) que tivesse registrado em algum whois.

mas dá um bocado de trabalho pendurar o sininho no pescoço do gato...

podemos fazer uma reunião informal tipo 'Birds of a Feather' durante o 
próximo encontro do GTER no Rio de Janeiro no mês que vem, para discutir a 
implementação de um serviço assim.

-- Danton