[MASOCH-L] dom?nios que parecem terem sido criados para mandar spam
Danton Nunes
danton.nunes at inexo.com.br
Thu Apr 30 09:14:42 -03 2015
On Thu, 30 Apr 2015, Leandro Carlos Rodrigues wrote:
> A gente utiliza esta técnica para consultar o campo ownerid do WHOIS.
> Funciona muito bem e conseguimos pegar vários casos de spammer com domínios
> múltiplos. Mas as vezes acontece justamente isso que você disse: o
> registro.br bloqueia depois de muitas consultas e a gente precisa solicitar a
> eles o desbloqueio. A gente faz o cache local mas o volume de consultas
> flutua demais e as vezes ultrapassa o limiar deles. Da mesma forma que a
> gente faz isso para o owneid, daria para fazer para o CIDR, o owner-c como o
> Danton gostaria, etc.
sim, em parte é isso o que eu queria dizer com whois não é DNS.
> Uma solução para o problema seria o registro.br disponibilizar um meio de
> fazer estas consultas sem bloqueio ou eles disponibilizarem a base de dados
> completa deles periodicamente. Eu já tentei convencer eles a fazerem isso
> mas eles não entenderam o propósito e acharam que seria muito trabalho para
> eles e sem resultado.
se isso fosse disponibilizado na forma de um serviço DNS à la lista negra,
ou lista de reputação seria melhor ainda.
> Outra solução seria a gente se juntar para criar um servidor cache de
> consulta WHOIS. Uma vez implementado, bastaria fazer o seguinte: faz a
> consulta neste servidor e, se retornar o resultado, use ele, senão o próprio
> terminal que fez a consulta faria uma outra consulta no WHOIS, pegando os
> campos de interesse e em seguida submeter o resultado no servidor de cache.
> Dá um pouco de trabalho para implementar mas uma vez implementado, o volume
> de consulta ao WHOIS seria diluindo entre todos os terminais participantes e
> a probabilidade de algum ser bloqueado seria bem pequena. Mas caso aconteça o
> bloqueio do terminal, daria para solicitar que o proprio servidor de cache
> fizesse a consulta no WHOIS para extrair as informações necessárias. Como a
> probabilidade seria pequena de bloqueio do terminal, o volume de solicitação
> de consulta pelo próprio servidor de cache seria pequena, e por consequência
> a probabilidade dele próprio ser bloqueado também. Esta solução não depende
> do registro.br mas somente de nós. A gente poderia fazer um protótipo e
> testar para ver como isso funcionaria na realidade e quais são as implicações
> de fato.
e se os servidores de cache formassem uma rede colaborativa, então,
ficaria ainda mais leve para o servidor do whois. e o interessante no caso
é que não se limitaria ao registro.br, mas a qualquer nome/endereço IP (v4
e v6!) que tivesse registrado em algum whois.
mas dá um bocado de trabalho pendurar o sininho no pescoço do gato...
podemos fazer uma reunião informal tipo 'Birds of a Feather' durante o
próximo encontro do GTER no Rio de Janeiro no mês que vem, para discutir a
implementação de um serviço assim.
-- Danton
More information about the masoch-l
mailing list