Kolejne próby walki z botnetami
-
- Józef Muszyński,
- 06.07.2008, godz. 15:20
Dostawcom internetu oraz dużym przedsiębiorstwom oferowany jest nowy sposób powstrzymywania spamu przepuszczanego przez zwykłe filtry wiadomości pocztowych - wykrywanie i blokowanie botnetów, które generują większość spamu.
Firma Engate, dostawca środków ochrony poczty elektronicznej, zapewnia, iż nowa wersja (3.6) jej bramy ochronnej MailSentinel zawiera rozszerzoną bazę reguł anty-bot, wykrywających aktywność botnetów w czasie rzeczywistym na poziomie protokołu, z wykorzystaniem własnych metod analizy ruchu, weryfikacji źródła wiadomości i technik przeciwdziałania fałszowania adresu nadawcy.
System profiluje ruch sieciowy określając, które adresy IP związane są z legalnymi serwerami, a które ze zwyczajnymi pecetami, które nie powinny wysyłać dużych wolumenów poczty elektronicznej. Jeżeli strona kliencka zmienia swoje zachowanie, jak to ma miejsce w wypadku infekcji, MailSentinel wykrywa zmianę i blokuje ruch z takiego klienta.
Ponieważ system pracuje na poziomie protokołu, to według zapewnień firmy może swym zasięgiem, oprócz poczty SMTP, obejmować również komunikatory, VoIP i aplikacje mobilne.
Rozwiązania antybotnet zdobywają coraz większa popularność wśród ISP z oczywistych powodów, ale nadal relatywnie trudne jest oddzielenie ruchu legalnego od ruchu generowanego przez botnety. Wśród produktów dla przedsiębiorstw filtrowanie typu "antybotnet" stanowi ciągle jeszcze margines w zabezpieczaniu ruchu poczty elektronicznej - większość bram ochrony poczty przegląda jedynie zawartość poczty i nie wykonuje poszerzonych analiz wzorców ruchu. Nowa wersja MailSentinel może być sygnałem, że stan ten może powoli się zmieniać.