Обикновен домейн .com, закупен за домашен експеримент и оставен почти

Обикновен домейн.com, закупен за домакински опит и оставен съвсем празен, за няколко седмици набра десетки хиляди визити. Историята, разказана от Cybernews, демонстрира, че щом в мрежата се появи нов адрес, той съвсем незабавно бива ударен от поток автоматизирани поръчки от ботове и скенери. В резултат на това даже една елементарна страница без дизайн и реклама може да докара до непредвидени разноски за притежателя и спомагателни опасности за сигурността.

Авторът на тази публикация е закупил домейн посредством Cloudflare за домашната си лаборатория и е конфигурирал един единствен HTML файл с размер 1,26 KB и фразата „ Защо си тук? “ на него. Без дизайн, скриптове и оптимизация. Седмица по-късно обаче Cloudflare поздрави притежателя за първите хиляда проявления, макар че действителният брояч надхвърляше четири хиляди. За един месец услугата записва 21 620 визити от към 1400 „ неповторими “ устройства и 30 560 визити, което при подобен дребен файл води до 63,43 мегабайта трафик. Около една трета от визитите са пристигнали от Хонконг, друга една трета – от Съединени американски щати, а останалите са разпределени в други страни.

По данни на Cloudflare Radar през последните дванадесет месеца към 30% от целия интернет трафик са били поръчки за автоматизирани системи. Най-голям е делът на Съединени американски щати – 39,4%, следвани от Германия с 6,4 % и Сингапур с 4,2%.

Бен Фостър, началник на The SEO Works, изяснява, че не е належащо ботовете да отгатват имената на домейните: информацията за регистрацията и издаването на документи е включена в обществени описи, които непрекъснато се следят от скенерите. Фостър акцентира, че ръководството на уебсайт без мрежов екран и отбрана от ботове се трансформира в игра на рулетка, макар че даже да се вземе поради големият автоматизиран трафик, хиляда визити дневно за чисто нов домейн наподобяват съмнително високи.

Терънс Нгу, създател и началник на Hashmeta, отбелязва, че ботовете наблюдават обществените DNS записи, регистрите на документите, сканират диапазони от IP адреси и следват връзки от други уеб сайтове. Според него корпоративните и осведомителните уеб сайтове с невисок профил се откриват от универсалните скенери в границите на часове или дни след стартирането им.

Джо Алагна, шеф по тактиките в it.com Domains, прибавя, че изключително дейни са огромните зони с домейни като.com, както и стартъпите, криптопроектите и SaaS услугите. Според наблюденията на екипа му даже празните уеб сайтове получават забележителен поток от автоматизирани поръчки незабавно след началото на делегирането на домейни.

Ебенезер Алън, основен изпълнителен шеф на просветителната платформа Westlink Academy, споделя, че при новите домейни нормално се пресичат няколко типа автоматизиран трафик: търсачки и търговски краулери, системи за мониторинг и нападателни скенери, които търсят неточности в конфигурацията, отворени административни панели, общоприети сметки и уязвими уеб форми.

Някои от поръчките идват от законни услуги за търсене и мониторинг на достъпността, само че забележителна част от тях идват от злонамерени механизми, които се пробват да записват сметки, спам формуляри, достъп до административни секции или се приготвят за похищение на домейни след привършване на регистрацията. Голяма част от този трафик идва от инфраструктурата на огромните снабдители на облачни услуги.

Били Арджент, съсобственик и шеф UX в организация Passionates, показва, че сходни пикове на трафика елементарно пробиват границите на евтините проекти. Ако вместо празна страница на уеб страницата се сложи да вземем за пример мегабайтова осведомителна лента, общият размер на трансферираните данни при сходен брой поръчки ще се приближи до 30 гигабайта.

В случай на 50-мегабайтово видео или 200-мегабайтова анимация, надхвърлянето на лимита от 10 гигабайта на месец е допустимо за по-малко от два дни, изключително при възнаграждение по действителното ползване на ресурсите. Джо Алагна цитира случаи, в които притежатели несъзнателно са претрупали квотите поради ботове, които непрекъснато са имали достъп до един огромен файл.

Нгу прибавя, че автоматизираните офанзиви все по-често се насочват към механизмите за еднократни кодове: ботовете всеобщо изискват OTP посредством SMS или месинджъри, което води до внушителни сметки за известия за фирмите без нито един действителен клиент.

Експертите поучават да се включи главната отбрана още преди стартирането на уеб страницата в общественото пространство. Това включва свързване на CDN с уеб защитна стена, активиране на филтрирането за ботове, ограничение на честотата на поръчките и инспекция на репутацията на IP адресите. Административните табла, контролните панели, вътрешните табла и други чувствителни секции би трябвало да бъдат скрити зад мощна автентикация и да не се държат нескрито с пътища за вход по дифолт, които се предлага да бъдат изменени.

Критичните формуляри следва да бъдат допълнени с CAPTCHA и други средства за усложняване на автоматизираните офанзиви, тежките файлове следва да бъдат скрити зад кеш или лимитирани URL адреси, а системите за разбор следва да бъдат конфигурирани по този начин, че да отделят човешката активност от машинната. В противоположен случай даже безопасен домейн с един ред текст може да докара първо до повишени статистически данни, а по-късно до ненужни разноски и произшествия със сигурността.