Cybersecurity
ການຄາດເດົາໂດເມນ Spam ໃຫມ່ຜ່ານການຮຽນຮູ້ເຄື່ອງຈັກ
ນັກຄົ້ນຄວ້າຈາກປະເທດຝຣັ່ງໄດ້ວາງແຜນວິທີການກໍານົດໂດເມນທີ່ລົງທະບຽນໃຫມ່ທີ່ມີແນວໂນ້ມທີ່ຈະຖືກນໍາໃຊ້ໃນແບບ 'ຕີແລະແລ່ນ' ໂດຍ spammers ອີເມວທີ່ມີປະລິມານສູງ - ບາງຄັ້ງ, ເຖິງແມ່ນວ່າກ່ອນທີ່ spammers ໄດ້ສົ່ງອີເມວທີ່ບໍ່ຕ້ອງການຫນຶ່ງ.
ເຕັກນິກແມ່ນອີງໃສ່ການວິເຄາະວິທີການທີ່ກອບນະໂຍບາຍຂອງຜູ້ສົ່ງ (SPF), ວິທີການຢັ້ງຢືນ email provenance, ໄດ້ຖືກສ້າງຕັ້ງຂຶ້ນໃນໂດເມນທີ່ລົງທະບຽນໃຫມ່.
ຂໍຂອບໃຈກັບການນໍາໃຊ້ຂອງ ຕົວຕັ້ງຕົວຕີ ເຊັນເຊີ DNS (Domain Name System), ນັກຄົ້ນຄວ້າສາມາດໄດ້ຮັບຂໍ້ມູນ DNS ໃກ້ເວລາຈິງຈາກບໍລິສັດ Farsight ທີ່ Seattle, ຜົນໄດ້ຮັບກິດຈະກໍາ SPF ສໍາລັບ ບັນທຶກ TXT ສໍາລັບຂອບເຂດຂອງໂດເມນ.
ການນໍາໃຊ້ວິທີການນ້ໍາຫ້ອງໃນເບື້ອງຕົ້ນ ການອອກແບບ ສໍາລັບການປຸງແຕ່ງຂໍ້ມູນທາງການແພດທີ່ບໍ່ສົມດຸນ, ແລະປະຕິບັດຢູ່ໃນ scikit- ຮຽນຮູ້ ຫ້ອງສະຫມຸດ Python ຂອງການຮຽນຮູ້ເຄື່ອງຈັກ, ນັກຄົ້ນຄວ້າສາມາດກວດພົບສາມສ່ວນສີ່ຂອງໂດເມນ spam ທີ່ຍັງຄ້າງຢູ່ພາຍໃນເວລາໃດຫນຶ່ງ, ຫຼືແມ້ກະທັ້ງລ່ວງຫນ້າຂອງການດໍາເນີນງານຂອງພວກເຂົາ.
ເອກະສານກ່າວວ່າ:
'ດ້ວຍການຮ້ອງຂໍດຽວກັບບັນທຶກ TXT, ພວກເຮົາກວດພົບ 75% ຂອງໂດເມນຂີ້ເຫຍື້ອ, ອາດຈະເປັນກ່ອນທີ່ຈະເລີ່ມຕົ້ນແຄມເປນ spam. ດັ່ງນັ້ນ, ໂຄງການຂອງພວກເຮົານໍາເອົາຄວາມໄວຂອງປະຕິກິລິຍາທີ່ສໍາຄັນ: ພວກເຮົາສາມາດກວດພົບ spammers ທີ່ມີປະສິດຕິພາບທີ່ດີເຖິງແມ່ນວ່າກ່ອນທີ່ mail ຈະຖືກສົ່ງໄປແລະກ່ອນທີ່ຈະເພີ່ມຂຶ້ນໃນການຈະລາຈອນ DNS.'
ນັກຄົ້ນຄວ້າອ້າງວ່າຄຸນສົມບັດທີ່ໃຊ້ໃນເຕັກນິກຂອງພວກມັນສາມາດຖືກເພີ່ມເຂົ້າໃນລະບົບການກວດສອບ spam ທີ່ມີຢູ່ເພື່ອເພີ່ມປະສິດຕິພາບ, ແລະໂດຍບໍ່ມີການເພີ່ມການຄິດໄລ່ທີ່ສໍາຄັນ, ເພາະວ່າລະບົບອີງໃສ່ຂໍ້ມູນ SPF ທີ່ສົມມຸດຕິຖານຈາກຂໍ້ມູນ DNS ທີ່ຢູ່ໃກ້ກັບເວລາຈິງທີ່ໃຊ້ແລ້ວ. ສໍາລັບວິທີການທີ່ແຕກຕ່າງກັນກັບບັນຫາ.
ໄດ້ ເຈ້ຍ ແມ່ນຫົວຂໍ້ ການກວດສອບຕົ້ນໆຂອງ Spam Domains ດ້ວຍ Passive DNS ແລະ SPF, ແລະມາຈາກສາມນັກຄົ້ນຄວ້າຢູ່ມະຫາວິທະຍາໄລ Grenoble.
ກິດຈະກໍາ SPF
SPF ຖືກອອກແບບມາເພື່ອຫຼີກເວັ້ນການຫຼອກລວງຂອງທີ່ຢູ່ອີເມວ, ໂດຍການກວດສອບວ່າທີ່ຢູ່ IP ທີ່ລົງທະບຽນແລະໄດ້ຮັບອະນຸຍາດໄດ້ຖືກນໍາໃຊ້ເພື່ອສົ່ງອີເມວ.
ວິທີການຢັ້ງຢືນອີເມວອື່ນໆລວມມີ DomainKeys Identified Mail (ສ່ວນຂະຫຍາຍ dkim) ລາຍເຊັນ, ແລະການຢືນຢັນຂໍ້ຄວາມທີ່ອີງໃສ່ໂດເມນ, ການລາຍງານ, ແລະຄວາມສອດຄ່ອງ (ບໍລິສັດ DMARC).
ທັງສາມວິທີການຕ້ອງໄດ້ຮັບການລົງທະບຽນເປັນບັນທຶກ TXT (ການຕັ້ງຄ່າການຕັ້ງຄ່າ) ຢູ່ຜູ້ລົງທະບຽນໂດເມນສໍາລັບໂດເມນທີ່ສົ່ງທີ່ແທ້ຈິງ.
ຂີ້ເຫຍື້ອແລະການເຜົາໄຫມ້
Spammers ສະແດງ 'ພຶດຕິກໍາລາຍເຊັນ' ໃນເລື່ອງນີ້. ຄວາມຕັ້ງໃຈຂອງພວກເຂົາ (ຫຼື, ຢ່າງຫນ້ອຍ, ຜົນກະທົບຂອງຫຼັກຊັບຄໍ້າປະກັນຂອງກິດຈະກໍາຂອງເຂົາເຈົ້າ) ແມ່ນເພື່ອ 'ເຜົາ' ຊື່ສຽງຂອງໂດເມນແລະທີ່ຢູ່ IP ຂອງຕົນໂດຍການລະເບີດອອກ mail ຈໍານວນຫຼາຍຈົນກ່ວາການດໍາເນີນການໃດໆໂດຍຜູ້ໃຫ້ບໍລິການເຄືອຂ່າຍທີ່ຂາຍບໍລິການເຫຼົ່ານີ້; ຫຼືທີ່ຢູ່ IP ທີ່ກ່ຽວຂ້ອງໄດ້ຖືກລົງທະບຽນດ້ວຍລາຍຊື່ spam-filter ທີ່ນິຍົມ, ເຮັດໃຫ້ມັນບໍ່ມີປະໂຫຍດຕໍ່ຜູ້ສົ່ງໃນປະຈຸບັນ (ແລະເປັນບັນຫາສໍາລັບເຈົ້າຂອງທີ່ຢູ່ IP ໃນອະນາຄົດ).
ເມື່ອສະຖານທີ່ໂດເມນບໍ່ສາມາດປະຕິບັດໄດ້ອີກຕໍ່ໄປ, spammers ຍ້າຍໄປໂດເມນແລະການບໍລິການອື່ນໆຕາມຄວາມຈໍາເປັນ, ເຮັດຊ້ໍາຂັ້ນຕອນທີ່ມີທີ່ຢູ່ IP ໃຫມ່ແລະການຕັ້ງຄ່າ.
ຂໍ້ມູນ ແລະວິທີການ
ໂດເມນທີ່ໄດ້ສຶກສາສໍາລັບການຄົ້ນຄວ້າກວມເອົາໄລຍະເວລາລະຫວ່າງເດືອນພຶດສະພາຫາເດືອນສິງຫາຂອງ 2021, ດັ່ງທີ່ Farsight ສະຫນອງໃຫ້. ພຽງແຕ່ໂດເມນທີ່ລົງທະບຽນສົດໆໄດ້ຖືກພິຈາລະນາ, ນັບຕັ້ງແຕ່ນີ້ສອດຄ່ອງກັບ modus operandi ຂອງ spammer ຢ່າງຕໍ່ເນື່ອງ.
ລາຍຊື່ໂດເມນໄດ້ຖືກສ້າງຂື້ນກັບຂໍ້ມູນຈາກ ICANN Central Zone Data Service (CZDS). ຂໍ້ມູນບັນຊີດໍາຈາກ SURBL ແລະ SpamHaus ໂຄງການຕ່າງໆໄດ້ຖືກນໍາໃຊ້ເພື່ອສົ່ງຜົນກະທົບຕໍ່ການກໍານົດເວລາທີ່ແທ້ຈິງຂອງການລົງທະບຽນໂດເມນໃຫມ່ທີ່ອາດຈະມີບັນຫາ - ເຖິງແມ່ນວ່າຜູ້ຂຽນຍອມຮັບວ່າລັກສະນະທີ່ບໍ່ສົມບູນແບບຂອງລາຍຊື່ spam ສາມາດນໍາໄປສູ່ໂດເມນທີ່ອ່ອນໂຍນໂດຍບັງເອີນຖືກຈັດປະເພດເປັນແຫຼ່ງທີ່ມີທ່າແຮງຂອງ mail ຈໍານວນຫລາຍ.
ຫຼັງຈາກຈັບການສອບຖາມ DNS TXT ໄປຫາໂດເມນທີ່ລົງທະບຽນໃຫມ່ທີ່ພົບເຫັນຢູ່ໃນອາຫານ DNS passive, ພຽງແຕ່ການສອບຖາມທີ່ມີຂໍ້ມູນ SPF ທີ່ຖືກຕ້ອງຖືກເກັບຮັກສາໄວ້, ສະຫນອງຄວາມຈິງພື້ນຖານສໍາລັບ algorithms.
SPF ມີຈໍານວນຂອງຄຸນສົມບັດທີ່ສາມາດໃຊ້ໄດ້; ເອກະສານໃຫມ່ໄດ້ພົບເຫັນວ່າໃນຂະນະທີ່ເຈົ້າຂອງໂດເມນ 'benign' ສ່ວນຫຼາຍມັກໃຊ້ + ລວມທັງ ກົນໄກ, spammers ມີການນໍາໃຊ້ສູງສຸດຂອງ (ໃນປັດຈຸບັນປະຕິເສດ) +ptr ຄຸນນະສົມບັດ.
ການຄົ້ນຫາ +ptr ປຽບທຽບທີ່ຢູ່ IP ຂອງຈົດໝາຍທີ່ສົ່ງໄປຫາບັນທຶກອັນໃດກໍໄດ້ທີ່ມີສໍາລັບການເຊື່ອມໂຍງກັບ IP ນັ້ນກັບຊື່ເຈົ້າພາບ (ເຊັ່ນ GoDaddy). ຖ້າຊື່ເຈົ້າພາບຖືກຄົ້ນພົບ, ໂດເມນຂອງມັນຖືກປຽບທຽບກັບຊື່ທີ່ຖືກນໍາໃຊ້ຄັ້ງທໍາອິດເພື່ອອ້າງອີງເຖິງບັນທຶກ SPF.
spammers ສາມາດຂຸດຄົ້ນຄວາມເຂັ້ມງວດທີ່ປາກົດຂື້ນຂອງ +ptr ເພື່ອນໍາສະເຫນີຕົວເອງໃນຄວາມສະຫວ່າງທີ່ຫນ້າເຊື່ອຖືຫຼາຍ, ໃນຄວາມເປັນຈິງຊັບພະຍາກອນທີ່ຈໍາເປັນເພື່ອດໍາເນີນການຄົ້ນຫາ +ptr ໃນລະດັບຂະຫນາດເຮັດໃຫ້ຜູ້ໃຫ້ບໍລິການຈໍານວນຫຼາຍຂ້າມການກວດສອບທັງຫມົດ.
ໃນສັ້ນ, ວິທີທີ່ spammers ໃຊ້ SPF ເພື່ອຮັບປະກັນປ່ອງຢ້ຽມຂອງໂອກາດກ່ອນທີ່ຈະດໍາເນີນການ 'blast and burn' ເລີ່ມຕົ້ນ, ເປັນຕົວແທນຂອງລາຍເຊັນລັກສະນະທີ່ສາມາດ inferred ໂດຍການວິເຄາະເຄື່ອງຈັກ.
ເນື່ອງຈາກ spammers ມັກຈະຍ້າຍໄປຢູ່ໃນຂອບເຂດ IP ແລະຊັບພະຍາກອນທີ່ໃກ້ຄຽງຫຼາຍ, ນັກຄົ້ນຄວ້າໄດ້ພັດທະນາເສັ້ນສະແດງຄວາມສໍາພັນເພື່ອຄົ້ນຫາຄວາມກ່ຽວຂ້ອງລະຫວ່າງຂອບເຂດ IP ແລະໂດເມນ. ເສັ້ນສະແດງສາມາດຖືກປັບປຸງເກືອບໃນເວລາຈິງເພື່ອຕອບສະຫນອງຂໍ້ມູນໃຫມ່ຈາກ SpamHaus ແລະແຫຼ່ງອື່ນໆ, ກາຍເປັນປະໂຫຍດແລະຄົບຖ້ວນສົມບູນໃນໄລຍະເວລາ.
ນັກຄົ້ນຄວ້າກ່າວວ່າ:
'ການສຶກສາໂຄງສ້າງເຫຼົ່ານີ້ສາມາດຊີ້ໃຫ້ເຫັນເຖິງໂດເມນຂີ້ເຫຍື້ອທີ່ມີທ່າແຮງ. ໃນຊຸດຂໍ້ມູນຂອງພວກເຮົາ, ພວກເຮົາພົບເຫັນ [ໂຄງສ້າງ] ທີ່ຫລາຍສິບໂດເມນໃຊ້ກົດລະບຽບ [SPF] ດຽວກັນແລະສ່ວນໃຫຍ່ຂອງພວກເຂົາປາກົດຢູ່ໃນບັນຊີດໍາ spam. ດັ່ງນັ້ນ, ມັນສົມເຫດສົມຜົນທີ່ຈະສົມມຸດວ່າໂດເມນທີ່ຍັງເຫຼືອມີແນວໂນ້ມທີ່ຈະຍັງບໍ່ທັນໄດ້ກວດພົບຫຼືບໍ່ແມ່ນໂດເມນ spam ທີ່ມີການເຄື່ອນໄຫວ.'
ຜົນການຄົ້ນຫາ
ນັກຄົ້ນຄວ້າໄດ້ປຽບທຽບການຊັກຊ້າຂອງການກວດສອບໂດເມນ spam ຂອງວິທີການຂອງພວກເຂົາກັບ SpamHaus ແລະ SURBL ໃນໄລຍະເວລາ 50 ຊົ່ວໂມງ. ພວກເຂົາເຈົ້າລາຍງານວ່າສໍາລັບ 70% ຂອງໂດເມນ spam ທີ່ຖືກກໍານົດ, ລະບົບຂອງຕົນເອງໄດ້ໄວຂຶ້ນ, ເຖິງແມ່ນວ່າການຍອມຮັບວ່າ 26% ຂອງໂດເມນ spam ທີ່ຖືກກໍານົດໄດ້ປາກົດຢູ່ໃນບັນຊີດໍາທາງການຄ້າໃນຊົ່ວໂມງຕໍ່ໄປ. 30% ຂອງໂດເມນຢູ່ໃນບັນຊີດໍາແລ້ວເມື່ອພວກມັນປາກົດຢູ່ໃນອາຫານ DNS passive.
ຜູ້ຂຽນຂໍຄະແນນ F1 ຂອງ 79% ຕໍ່ກັບຄວາມຈິງພື້ນຖານໂດຍອີງໃສ່ການສອບຖາມ DNS ດຽວ, ໃນຂະນະທີ່ວິທີການແຂ່ງຂັນເຊັ່ນ: Exposure ສາມາດຮຽກຮ້ອງໃຫ້ອາທິດຂອງການວິເຄາະເບື້ອງຕົ້ນ.
ເຂົາເຈົ້າສັງເກດເຫັນ:
'ໂຄງການຂອງພວກເຮົາສາມາດຖືກນໍາໃຊ້ໃນຂັ້ນຕອນຕົ້ນຂອງວົງຈອນຊີວິດໂດເມນ: ໂດຍໃຊ້ DNS passive (ຫຼື active), ພວກເຮົາສາມາດໄດ້ຮັບກົດລະບຽບ SPF ສໍາລັບໂດເມນທີ່ລົງທະບຽນໃຫມ່ແລະຈັດປະເພດພວກມັນທັນທີ, ຫຼືລໍຖ້າຈົນກ່ວາພວກເຮົາກວດພົບ TXT ໄປຫາໂດເມນນັ້ນແລະປັບປຸງໃຫມ່. ການຈັດປະເພດໂດຍໃຊ້ລັກສະນະທາງໂລກທີ່ຍາກທີ່ຈະຫຼົບຫຼີກ.'
ແລະສືບຕໍ່:
' [ຂອງພວກເຮົາ] ການຈັດປະເພດທີ່ດີທີ່ສຸດກວດພົບ 85% ຂອງໂດເມນ spam ໃນຂະນະທີ່ຮັກສາອັດຕາບວກທີ່ບໍ່ຖືກຕ້ອງພາຍໃຕ້ 1%. ຜົນໄດ້ຮັບການຊອກຄົ້ນຫາແມ່ນຫນ້າສັງເກດເພາະວ່າການຈັດປະເພດພຽງແຕ່ໃຊ້ເນື້ອຫາຂອງໂດເມນຂອງກົດລະບຽບ SPF ແລະຄວາມສໍາພັນຂອງພວກເຂົາ, ແລະຍາກທີ່ຈະຫລີກລ້ຽງລັກສະນະຕ່າງໆໂດຍອີງໃສ່ການຈະລາຈອນ DNS.
'ປະສິດທິພາບຂອງຕົວຈັດປະເພດຍັງຄົງສູງ, ເຖິງແມ່ນວ່າພວກເຂົາຈະໄດ້ຮັບພຽງແຕ່ລັກສະນະສະຖິດທີ່ສາມາດລວບລວມໄດ້ຈາກການສອບຖາມ TXT ດຽວ (ສັງເກດເຫັນແບບ passive ຫຼື active queried).'
ເພື່ອເບິ່ງການນໍາສະເຫນີກ່ຽວກັບວິທີໃຫມ່, ກວດເບິ່ງວິດີໂອທີ່ຝັງຢູ່ຂ້າງລຸ່ມນີ້:
ພິມຄັ້ງທຳອິດໃນວັນທີ 5 ພຶດສະພາ 2022.