RU2745004C1 - Method for protecting computing networks - Google Patents
Method for protecting computing networks Download PDFInfo
- Publication number
- RU2745004C1 RU2745004C1 RU2020125357A RU2020125357A RU2745004C1 RU 2745004 C1 RU2745004 C1 RU 2745004C1 RU 2020125357 A RU2020125357 A RU 2020125357A RU 2020125357 A RU2020125357 A RU 2020125357A RU 2745004 C1 RU2745004 C1 RU 2745004C1
- Authority
- RU
- Russia
- Prior art keywords
- response
- sender
- messages
- memory array
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/10—Office automation; Time management
- G06Q10/107—Computer-aided management of electronic mailing [e-mailing]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Entrepreneurship & Innovation (AREA)
- Strategic Management (AREA)
- Quality & Reliability (AREA)
- General Physics & Mathematics (AREA)
- Operations Research (AREA)
- Economics (AREA)
- Tourism & Hospitality (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- Marketing (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
Изобретение относится к электросвязи и может быть использовано в системах обнаружения атак с целью оперативного выявления и противодействия несанкционированным воздействиям в вычислительных сетях, в частности, в сети передачи данных типа «Internet», основанных на семействе коммуникационных протоколов TCP/IP (Transmission Control Protocol /Internet Protocol).The invention relates to telecommunications and can be used in intrusion detection systems for the purpose of prompt detection and counteraction of unauthorized influences in computer networks, in particular, in a data transmission network of the "Internet" type, based on the family of communication protocols TCP / IP (Transmission Control Protocol / Internet Protocol).
Известен способ защиты вычислительных сетей «Система анализа протоколов передачи данных с целью нейтрализации программ, рассылающих спам» по патенту РФ №101234, класс G06F 21/00, G06F 11/00, заявл. 23.07.2010. Известный способ включает следующую последовательность действий. Задают и записывают в базу данных репутационные правила, которые определяют, что клиент является спам-ботом. Принимают запрос от клиентов к серверу о определяют протокол передачи данных между клиентом и сервером, наличие ошибок протокола, количество запросов, поступающих от клиентов к серверу, адреса клиентов. Выставляют репутацию клиентам от которых поступили запросы в соответствии с используемыми репутационными правилами. В случае идентификации спам-бота, использующих программу рассылающую спам, направляют средства лечения программы, рассылающей спам на адреса спам-ботов с которых направляются запросы к серверу.A known method of protecting computer networks "System for analyzing data transfer protocols in order to neutralize programs that send spam" according to RF patent No. 101234, class G06F 21/00, G06F 11/00, Appl. 23.07.2010. The known method includes the following sequence of actions. Reputation rules are set and recorded in the database, which determine that the client is a spambot. A request from clients to the server is received and the protocol of data transfer between the client and the server, the presence of protocol errors, the number of requests from clients to the server, and client addresses are determined. Exhibit reputation to clients from whom requests were received in accordance with the used reputation rules. If a spam bot is identified that uses a spam-sending program, means of disinfecting the program sending spam are sent to the addresses of spambots from which requests are sent to the server.
Недостатком данного способа является относительно низкая результативность защиты, которая обусловлена отсутствием учета возможностей злоумышленника по блокированию и перенаправлению пересылаемых ему средств лечения программы, рассылающей спам, а также отсутствие учета возможности злоумышленника по спам-рассылке с поддельных адресов электронной почты, что повышает вероятность успешной реализации некоторых видов NDR-атак (Non Delivery Report), основанных на возврате отправителю почтовых сообщений, получателя которых не существует. Кроме того, еще одним недостатком, существенно влияющим на результативность рассматриваемого способа, является то компрометация применяемых средств защиты, что вынуждает злоумышленника продолжать вредоносное воздействие и (или) изменять его стратегию.The disadvantage of this method is the relatively low effectiveness of protection, which is due to the lack of accounting for the attacker's ability to block and redirect the remedies forwarded to him for the treatment of a program that sends spam, as well as the lack of accounting for the attacker's ability to send spam from fake email addresses, which increases the likelihood of successful implementation of some types of NDR (Non Delivery Report) attacks based on the return of mail messages to the sender, the recipient of which does not exist. In addition, another drawback that significantly affects the effectiveness of the method under consideration is the compromise of the applied protection means, which forces the attacker to continue the harmful effect and (or) change his strategy.
Известен способ защиты вычислительных сетей «Предотвращение несанкционированной массовой рассылки электронной почты» по патенту РФ №2472308, класс H04W 4/12, G06F 15/167, заявл. 19.05.2011. Известный способ включает следующую последовательность действий. Отфильтрованные на почтовом сервере сообщения, признанные вирусом и спамом, не только помечают, перемещают в другой ящик или удаляют, но копии таких писем возвращают отправителю, за счет чего его почтовый ящик переполняется и блокируется, и отправка несанкционированной массовой рассылки электронной почты с этого адреса прекращается. Почтовые ящики серверов электронной почты настраивают таким образом, чтобы при переполнении они блокировались, прерывая отправку писем.A known method of protecting computer networks "Preventing unauthorized mass mailing of e-mail" according to RF patent No. 2472308,
Недостатком данного способа является относительно низкая результативность и узкая область применения. Узкая область применения обусловлена применением способа для противодействия злоумышленнику, использующему одновременно лишь один почтовый ящик для массовой спам-рассылки, не учитывают возможность применения для этих целей злоумышленником множества почтовых ящиков различных компьютеров, под управлением спам-ботов, резко повышающих его возможности. Низкая результативность защиты обусловлена блокированием почтовых ящиков серверов электронной почты, при их переполнении вследствие интенсивного обмена сообщениями электронной почты со злоумышленником, что приведет к снижению скорости или невозможности информационного обмена сообщениями электронной почты с санкционированными отправителями (отказу в обслуживании). Кроме того, отсутствие учета возможностей злоумышленника по блокированию и перенаправлению пересылаемых ему обратно спам-сообщений, а также отсутствие учета возможности злоумышленника по массовой спам-рассылке с поддельных адресов электронной почты повышает вероятность успешной реализации некоторых NDR-атак (Non-Delivery Report), основанных на недоставке электронной почты, типа «bounce message attack», «bounce-source» или «backscatter-attack», известных и описанных, например, в статье Касперски К. Беспредельный спам // Хакер, №07(103), июнь 2007, на стр. 48-51 и приведет к регрессии (деградации) основного качества способа-прототипа. Еще одним недостатком, существенно влияющим на результативность рассматриваемого способа, является то, что реализация указанного подхода к защите компрометирует применяемые средства защиты и вынуждает злоумышленника продолжать вредоносное воздействие и (или) изменять его стратегию.The disadvantage of this method is the relatively low efficiency and narrow scope. The narrow scope is due to the application of a method to counter an attacker who uses only one mailbox for mass spam mailing at a time, do not take into account the possibility of using for this purpose by an attacker many mailboxes of different computers, under the control of spambots, which dramatically increase his capabilities. Poor protection performance is due to the blocking of mailboxes of e-mail servers, when they are overflowed due to intensive exchange of e-mail messages with an attacker, which will lead to a decrease in the speed or impossibility of information exchange of e-mail messages with authorized senders (denial of service). In addition, the lack of accounting for the attacker's ability to block and redirect spam messages sent back to him, as well as the lack of accounting for the attacker's ability to send bulk spam from fake email addresses increases the likelihood of successful implementation of some NDR attacks (Non-Delivery Report) based on on non-delivery of e-mail, such as "bounce message attack", "bounce-source" or "backscatter-attack", known and described, for example, in the article by Kaspersky K. Unlimited spam // Hacker, No. 07 (103), June 2007, on pp. 48-51 and will lead to regression (degradation) of the basic quality of the prototype method. Another drawback that significantly affects the effectiveness of the method under consideration is that the implementation of the specified approach to protection compromises the applied protection means and forces the attacker to continue the harmful effect and (or) change his strategy.
Наиболее близким по своей технической сущности к заявленному является способ защиты вычислительных сетей «Response delay management using connection information» по патенту США №20070220600 A1, класс G06F 2/4 (2006.01), опубл. 20.09.2007. Способ заключается в выполнении следующих действий: Предварительно задают N≥1 опорных идентификаторов санкционированных отправителей и получателей сообщений электронной почты. Устанавливают сетевое соединение с отправителем сообщений электронной почты. Принимают от отправителя команду, идентифицирующую отправителя почтовых сообщений, выделяют идентификаторы отправителя почтовых сообщений и сравнивают их с опорными идентификаторами санкционированных отправителей и получателей сообщений электронной почты. При их совпадении передают ответный отклик о готовности получателя к очередному этапу почтовой транзакции отправителю сообщений. В ином случае снижают скорость передачи сформированного ответного отклика на время tзад и направляют через время tзад сформированный ответный отклик отправителю с уменьшением скорости передачи. В случае получения от отправителя сообщений электронной почты команды на завершение сетевого соединения, до истечения времени tзад отправки ответного отклика, разрывают сетевое соединение с отправителем почтовых сообщений. Далее, на каждом из этапов почтовой транзакции, повторяют цикл приема от отправителя команд, идентифицирующих отправителя и получателей почтовых сообщений, выделения идентификаторов отправителя и получателей почтовых сообщений, их сравнения с опорными идентификаторами санкционированных отправителей и получателей сообщений электронной почты, разрыва соединения с отправителем в случае получения от него команды на завершение соединения до истечения времени tзад отправки ответного отклика. Увеличивают значение времени tзад задержки, через которое передают ответный отклик отправителю сообщений электронной почты в случае повторных попыток передачи сообщений несанкционированного отправителя.The closest in technical essence to the claimed is a method of protecting computer networks "Response delay management using connection information" according to US patent No. 70220600 A1, class G06F 2/4 (2006.01), publ. 20.09.2007. The method consists in performing the following actions: N≥1 reference identifiers of authorized senders and recipients of e-mail messages are preset. Establish a network connection with the sender of the e-mail messages. A command is received from the sender that identifies the sender of the mail messages, the identifiers of the sender of the mail messages are extracted and compared with the reference identifiers of the authorized senders and recipients of the e-mail messages. If they match, a response is sent about the readiness of the recipient for the next stage of the mail transaction to the sender of the messages. Otherwise, the transmission rate of the generated response is reduced for the time t back and the generated response is sent to the sender after the time t back with a decrease in the transmission rate. In the case of receipt from the sender of the e-mail the team at the end of a network connection, before the expiry of the time t ass sending a reply response, break the network connection to the sender of e-mail messages. Further, at each of the stages of the mail transaction, the cycle of receiving commands from the sender identifying the sender and recipients of mail messages, highlighting the identifiers of the sender and recipients of mail messages, comparing them with the reference identifiers of authorized senders and recipients of e-mail messages, breaking the connection with the sender in case of receiving commands from him to complete connections before the expiration of time t backside sending a reply response. Increase the value of time delay t butt that sends a response back to the sender e-mail in the case of repeated attempts to send messages unauthorized sender.
Известный способ-прототип обеспечивает более высокую результативность защиты по сравнению с аналогами за счет задержки на заданное время ответных откликов на команды злоумышленника в процессе передачи сообщений электронной почты, что позволяет уменьшить количество передаваемых им нежелательных сообщений и, тем самым, снизить и(или) прекратить вредоносное воздействие злоумышленника.The known prototype method provides a higher protection efficiency in comparison with analogs due to the delay for a given time in response responses to the attacker's commands during the transmission of e-mail messages, which makes it possible to reduce the number of unwanted messages sent to them and, thereby, to reduce and (or) stop malicious impact of an intruder.
Недостатком способа-прототипа является относительно низкая результативность защиты, которая обусловлена тем, что задержку по времени при отправке ответных откликов на команды злоумышленника, после его идентификации в процессе передачи сообщений электронной почты по протоколу SMTP, осуществляют через достаточно продолжительное время задержки tзад, значение которого увеличивают в случае его повторных попыток передачи сообщений электронной почты. Это может привести к компрометации применяемых средств защиты, что вынуждает злоумышленника далее воздействовать на вычислительные сети и (или) менять применяемую стратегию воздействия, а также обходу применяемых средств защиты при установке злоумышленником достаточно коротких значений тайм-аутов ожидания ответных откликов от получателя сообщений на различных этапах процесса передачи сообщений электронной почты по протоколу SMTP.The disadvantage of the prototype method is the relatively low effectiveness of protection, which is due to the fact that the time delay in sending response responses to the attacker's commands, after his identification in the process of sending e-mail messages via the SMTP protocol, is carried out after a sufficiently long delay time t back , the value of which increase in case of its repeated attempts to transmit e-mail messages. This can lead to the compromise of the applied protection means, which forces the attacker to further influence the computer networks and (or) change the applied strategy of influence, as well as bypass the applied protection means when the attacker sets sufficiently short timeouts for waiting for responses from the message recipient at various stages. the process of sending e-mail messages using the SMTP protocol.
Целью заявленного технического решения является разработка способа защиты вычислительных сетей, обеспечивающего повышение результативности защиты за счет снижения возможности обнаружения злоумышленником факта использования средств защиты, достигаемой имитацией канала связи с плохим качеством на различных этапах почтовой транзакции, за счет разбиения ответного отклика злоумышленнику на фрагменты и направления этих фрагментов через многочисленные малые интервалы времени задержки, направления ответного отклика злоумышленнику после множества промежуточных откликов, отправленных через многочисленные малые интервалы времени задержки, а также направления злоумышленнику заведомо ложных сообщений о временной или постоянной невозможности продолжения почтовой транзакции.The aim of the claimed technical solution is to develop a method for protecting computer networks, which ensures an increase in the effectiveness of protection by reducing the possibility of an attacker detecting the fact of using protection means, achieved by simulating a communication channel with poor quality at various stages of a mail transaction, by splitting the response to the attacker into fragments and directions of these fragments at multiple short delay intervals, forwarding a response to the attacker after multiple intermediate responses sent at multiple short delay intervals, and sending deliberately false messages to the attacker about the temporary or permanent impossibility of continuing the mail transaction.
Поставленная цель достигается тем, что в известном способе защиты вычислительных сетей предварительно задают N≥1 опорных идентификаторов санкционированных отправителей и получателей сообщений электронной почты. Далее задают Ic счетчик количества подключений отправителя сообщений и Icmax максимально возможное количество подключений отправителя сообщений электронной почты. После этого задают tзад время задержки, через которое передают ответный отклик отправителю сообщений электронной почты и массив памяти М для хранения опорных идентификаторов санкционированных отправителей сообщений электронной почты. Затем задают Is счетчик общего количества подключений всех отправителей сообщений электронной почты и Ismax максимально возможное количество подключений всех отправителей сообщений электронной почты. Далее устанавливают сетевое соединение с отправителем почтовых сообщений и направляют отправителю отклик, инициирующий начало сеанса SMTP со стороны получателя. После этого увеличивают значение Ic счетчика количества подключений от отправителя сообщений на единицу. Затем увеличивают значение Is счетчика общего количества подключений от всех отправителей сообщений и сравнивают значение Is счетчика количества подключений от всех отправителей сообщений с Ismax максимально возможным количеством подключений всех отправителей сообщений. При выполнении условия Is≥Ismax уменьшают значения Ic и Is на единицу. Затем завершают сетевое соединение с отправителем почтовых сообщений. В ином случае, при невыполнении условия Is≥Ismax принимают команду, инициирующую отправителя почтовых сообщений и идентифицирующую его. Далее выделяют из принятой команды идентификаторы отправителя сообщений и сравнивают выделенные идентификаторы отправителя сообщений с опорными идентификаторами из массива памяти М. Если по результатам сравнения выделенные идентификаторы соответствуют опорным идентификаторам санкционированных отправителей сообщений из массива памяти М, то направляют ответный отклик отправителю сообщений о готовности к почтовой транзакции. В ином случае, если по результатам сравнения выделенные идентификаторы не соответствуют опорным идентификаторам санкционированных отправителей сообщений из массива памяти М, то формируют ответный отклик. После этого устанавливают tзад время задержки передачи сформированного ответного отклика. Затем по истечении времени tзад направляют сформированный ответный отклик отправителю. В случае получения, во время tзад перед отправкой ответного отклика, команды на завершение сетевого соединения от отправителя сообщений электронной почты уменьшают значения Ic и Is на единицу. После этого задают сетевое соединение с отправителем почтовых сообщений. В ином случае, если во время tзад перед отправкой ответного отклика, команды на завершение сетевого соединения от отправителя сообщений электронной почты не последовало, то направляют отправителю ответный отклик. Далее принимают от отправителя сообщений команду на начало почтовой транзакции, идентифицирующую отправителя сообщений электронной почты. После этого выделяют из принятой команды идентификаторы отправителя сообщений и сравнивают выделенные идентификаторы отправителя сообщений с опорными идентификаторами из массива памяти М. Если по результатам сравнения выделенные идентификаторы соответствуют опорным идентификаторам санкционированных отправителей сообщений из массива памяти М, то направляют ответный отклик отправителю сообщений о приеме полученной команды и начале почтовой транзакции. В ином случае, если по результатам сравнения выделенные идентификаторы не соответствуют опорным идентификаторам санкционированных отправителей сообщений из массива памяти М, то формируют ответный отклик. Затем устанавливают tзад время задержки передачи сформированного ответного отклика. Далее по истечении времени tзад направляют сформированный ответный отклик отправителю. В случае получения, во время tзад перед отправкой ответного отклика, команды на завершение сетевого соединения от отправителя сообщений электронной почты уменьшают значения Ic и Is на единицу. После этого завершают сетевое соединение с отправителем почтовых сообщений. В ином случае, если во время tзад перед отправкой ответного отклика, команды на завершение сетевого соединения от отправителя сообщений электронной почты не последовало, то направляют отправителю ответный отклик. Затем принимают от отправителя сообщений команду, указывающую получателей сообщения электронной почты. После этого сравнивают значение Ic счетчика количества подключений отправителя сообщений Icmax максимально возможным количеством подключений отправителя сообщений. Далее, при выполнении условия Ic≥Icmax, уменьшают значения Ic и Is на единицу и завершают сетевое соединение с отправителем почтовых сообщений. В ином случае, при невыполнении условия Ic≥Icmax принимают команду, указывающую получателей сообщения электронной почты и выделяют из принятой команды идентификаторы получателей сообщений. Затем сравнивают выделенные идентификаторы получателей сообщений с опорными идентификаторами из массива памяти М. Если по результатам сравнения выделенные идентификаторы соответствуют опорным идентификаторам санкционированных получателей сообщений из массива памяти М, то направляют ответный отклик отправителю сообщений о готовности продолжить почтовую транзакцию. В ином случае, если по результатам сравнения выделенные идентификаторы не соответствуют опорным идентификаторам санкционированных получателей сообщений из массива памяти М, то формируют ответный отклик. Далее устанавливают tзад время задержки передачи сформированного ответного отклика и по истечении времени tзад направляют сформированный ответный отклик отправителю. В случае получения, во время tзад перед отправкой ответного отклика, команды на завершение сетевого соединения от отправителя сообщений электронной почты уменьшают значения Ic и Is на единицу. После этого завершают сетевое соединение с отправителем почтовых сообщений. В ином случае, если во время tзад перед отправкой ответного отклика, команды на завершение сетевого соединения от отправителя сообщений электронной почты не последовало, то направляют отправителю ответный отклик. Далее принимают очередную команду, инициирующую передачу почтовых данных и направляют отправителю сообщений ответный отклик о готовности приема текста сообщения электронной почты. Затем принимают текст сообщения электронной почты и завершают почтовую транзакцию передачей отклика, подтверждающего транзакцию. После этого уменьшают значения Ic и Is на единицу и завершают сетевое соединение с отправителем почтовых сообщений. В предварительно заданные данные дополнительно задают массив памяти L для хранения t сформированных значений времени задержки промежуточных откликов отправителю сообщений электронной почты, где t=1, 2, …, Т, а Т - общее количество сформированных значений времени задержки промежуточных откликов отправителю сообщений. Затем задают массив памяти V для хранения d промежуточных откликов отправителю сообщений электронной почты, где d=1, 2 ... R, a R - общее количество промежуточных откликов, которые будут направлены отправителю сообщений электронной почты перед ответным сообщением. Далее задают счетчик сформированных промежуточных откликов, хранящихся в массиве памяти V. После этого задают массив памяти J для хранения матрицы соответствия d-му промежуточному отклику из массива V t-го сформированного значения времени задержки его направления отправителю сообщений электронной почты из массива памяти L. После этого задают массив памяти P для хранения g фрагментов, на которые разделяют ответный отклик, направляемый отправителю сообщений, где g=1, 2, …, G, a G - общее количество сформированных фрагментов, на которые разделяют ответный отклик, направляемый отправителю сообщений. Затем задают массив памяти Z для хранения ƒ сформированных значений времени задержки передачи фрагментов ответного отклика отправителю сообщений электронной почты, где ƒ=1, 2, …, F, a F - общее количество сформированных значений времени задержки направления фрагментов ответного отклика отправителю сообщений электронной почты. Далее задают счетчик m сформированных фрагментов, на которые разделяют ответный отклик, хранящихся в массиве памяти Р. После этого задают массив памяти Н для хранения матрицы соответствия g-му фрагменту из массива Р ƒ-го сформированного значения времени его задержки из массива памяти Z. Далее задают массив памяти X для хранения и ответных откликов на команды отправителя сообщений, содержащих коды ошибки в соответствии со спецификацией протокола SMTP, где u=1, 2, … U, a U - общее количество ответных откликов на команды отправителя сообщений, содержащих коды ошибки. Затем, если после приема идентифицирующей отправителя команды, выделения идентификаторов отправителя и их сравнения с опорными, выделенные идентификаторы не соответствуют опорным идентификаторам санкционированных отправителей сообщений из массива памяти М, то формируют R промежуточных откликов, которые будут направлены отправителю сообщений электронной почты перед ответным откликом. После этого запоминают R промежуточных откликов в массиве памяти V и устанавливают значение счетчика сформированных промежуточных откликов, хранящихся в массиве памяти V равным R. Далее формируют Т значений времени задержки промежуточных откликов отправителю сообщений и запоминают Т значений времени задержки промежуточных откликов отправителю сообщений в массиве памяти L. После этого запоминают в массиве памяти J соответствие d-му промежуточному отклику из массива V t-го сформированного значения времени его задержки из массива памяти L. Затем считывают из массива памяти J первый из R сформированных промежуточных откликов и из массива памяти L первое из Т сформированных значений времени задержки. Далее направляют отправителю сообщений первый из R сформированных промежуточных откликов через первое из Т сформированных значений времени задержки. После этого удаляют первый из R сформированных промежуточных откликов и первое из Т сформированных значений времени задержки, а также запись об их соответствии из массивов памяти V, L и J соответственно. Затем уменьшают значение счетчика сформированных промежуточных откликов, хранящихся в массиве памяти V на единицу. В случае получения после отправки промежуточного отклика команды на завершение сетевого соединения от отправителя сообщений электронной почты значения Ic и Is уменьшаются на единицу, а сетевое соединение с отправителем сообщений завершается. В ином случае, если, после отправки промежуточного отклика, команды на завершение сетевого соединения от отправителя сообщений электронной почты не последовало, то считывают значение счетчика сформированных промежуточных откликов. Далее, в случае, если значение счетчикачто говорит о том, что еще не все промежуточные отклики направлены отправителю сообщений электронной почты, то считывают очередной (d+l)-й из ранее сформированных R промежуточных откликов. После этого направляют очередной (d+1)-й из ранее сформированных R промежуточных откликов через (t+1)-e значение времени задержки отправителю сообщений электронной почты, и так до тех пор, пока не будет выполнено условие означающее, что все промежуточные отклики направлены отправителю. Затем после выполнения условия направляют ответный отклик отправителю сообщений электронной почты. В случае если после приема от отправителя сообщений команды на начало почтовой транзакции, выделения идентификаторов отправителя, их сравнения с опорными идентификаторами, по результатам сравнения выделенные идентификаторы не соответствуют опорным идентификаторам санкционированных отправителей сообщений из массива памяти М, то формируют G фрагментов, на которые разделяют ответный отклик, направляемый отправителю сообщений. После этого запоминают G фрагментов, на которые разделяют ответный отклик, направляемый отправителю сообщений, в массиве памяти Р. Далее устанавливают значение счетчика т сформированных фрагментов, на которые разделяют ответный отклик, хранящихся в массиве памяти Р, равным G. Затем формируют F значений времени задержки для каждого из фрагментов, на которые разделяют ответный отклик отправителю. После этого запоминают F значений времени задержки для каждого из фрагментов, на которые разделяют ответный отклик отправителю в массиве памяти Z и запоминают в массиве памяти Н соответствия g-му фрагменту из массива Р ƒ-го сформированного значения времени его задержки из массива памяти Z. Далее считывают из массива памяти Р первый из G сформированных фрагментов ответного отклика и из массива памяти Z первое из F сформированных значений времени задержки. Затем направляют отправителю сообщений первый из G фрагментов ответного отклика через первое из Z сформированных значений времени задержки. После этого удаляют первый из G сформированных фрагментов ответного отклика и первое из F сформированных значений времени задержки, а также запись об их соответствии из массивов памяти Р, Z и Н соответственно. Далее уменьшают значение счетчика т сформированных фрагментов ответного отклика, хранящихся в массиве памяти Р, на единицу. В случае получения после отправки фрагмента ответного отклика команды на завершение сетевого соединения от отправителя сообщений электронной почты значения Ic и Is уменьшаются на единицу, а сетевое соединение с отправителем сообщений завершается. В ином случае, если после отправки очередного фрагмента ответного отклика команды на завершение сетевого соединения от отправителя сообщений электронной почты не последовало, то считывают значение счетчика m сформированных фрагментов ответного отклика. В случае, если значение счетчика m≠0, что говорит о том, что еще не все фрагменты ответного отклика направлены отправителю сообщений электронной почты, то считывают очередной (g+1)-й из ранее сформированных G фрагментов ответного отклика. Далее направляют очередной (g+lj-й из ранее сформированных G фрагментов ответного отклика через (ƒ+1)-e значение времени задержки отправителю сообщений электронной почты, и так до тех пор пока не будет выполнено условие m=0, означающее, что все фрагменты ответного отклика направлены отправителю. В случае если после приема от отправителя сообщений команды, идентифицирующей получателей сообщений, выделения идентификаторов получателей сообщений, их сравнения с опорными идентификаторами выделенные идентификаторы по результатам сравнения не соответствуют опорным идентификаторам санкционированных получателей сообщений из массива памяти М, то формируют U ответных откликов на команды отправителя сообщений, содержащих коды ошибки в соответствии со спецификацией протокола SMTP. После этого запоминают U ответных откликов в массиве памяти X и считывают из X u-й ответный отклик, содержащий код ошибки, на команду отправителя сообщений электронной почты. Далее направляют отправителю сообщений электронной почты ответный отклик, содержащий код ошибки. В случае неполучения повторной команды от отправителя сообщений по истечении времени тайм-аута ожидания на полученный отклик с кодом ошибки или получения команды о разрыве установленного соединения, значения Ic и Is уменьшаются на единицу, а сетевое соединение с отправителем сообщений завершается.This goal is achieved by the fact that in the known method for protecting computer networks, N≥1 reference identifiers of authorized senders and recipients of e-mail messages are preset. Next, set I c a counter of the number of connections of the sender of messages and I cmax the maximum possible number of connections of the sender of e-mail messages. Thereafter define butt t delay time after which a response is transmitted back to the sender of electronic mail messages and an array of memory M for storing reference identifiers authorized senders email messages. Then set the I s counter of the total number of connections of all senders of e-mail messages and I smax the maximum possible number of connections of all senders of e-mail messages. Next, a network connection is established with the sender of mail messages and a response is sent to the sender, initiating the beginning of an SMTP session from the recipient's side. After that, the value I c of the counter of the number of connections from the message sender is increased by one. Then increase a counter value I s of the total number of connections to all senders and comparing the counter value I s the number of connections from all senders from I smax maximum possible number of connections all senders. When the condition I s ≥I smax is satisfied , the values of I c and I s are reduced by one. Then, the network connection with the sender of the mail messages is terminated. Otherwise, if the condition I s ≥I smax is not met, a command is received that initiates the sender of mail messages and identifies him. Next, the message sender identifiers are extracted from the received command and the allocated message sender identifiers are compared with the reference identifiers from the memory array M. If, according to the comparison results, the selected identifiers correspond to the reference identifiers of authorized message senders from the memory array M, then a response is sent to the sender of messages about readiness for a mail transaction ... Otherwise, if, according to the comparison results, the allocated identifiers do not correspond to the reference identifiers of the authorized senders of messages from the memory array M, then a response is generated. After that set t back the delay time of transmission of the generated response response. Then, after time t is sent back response generated by the response to the sender. If received, at time t back before sending the response, the commands to terminate the network connection from the sender of the e-mail messages decrease the values of I c and I s by one. After that, a network connection with the sender of mail messages is set up. Otherwise, if at time t back before sending a response response, there is no command to terminate the network connection from the sender of e-mail messages, then a response response is sent to the sender. Next, a command is received from the sender of the messages to start a mail transaction that identifies the sender of the e-mail messages. After that, the message sender identifiers are extracted from the received command and the selected message sender identifiers are compared with the reference identifiers from the memory array M. If, according to the comparison results, the selected identifiers correspond to the reference identifiers of authorized message senders from the memory array M, then a response is sent to the sender of messages about the receipt of the received command and the beginning of a postal transaction. Otherwise, if, according to the comparison results, the allocated identifiers do not correspond to the reference identifiers of the authorized senders of messages from the memory array M, then a response is generated. Then set t back the delay time for transmitting the generated response response. Then, after the expiration of time t back , the generated response is sent to the sender. If received, at time t back before sending the response, the commands to terminate the network connection from the sender of the e-mail messages decrease the values of I c and I s by one. After that, the network connection with the sender of the mail messages is terminated. Otherwise, if at time t back before sending a response response, there is no command to terminate the network connection from the sender of e-mail messages, then a response response is sent to the sender. A command is then received from the sender of the messages, indicating the recipients of the e-mail message. After that, the value of I is compared with the counter of the number of connections of the message sender I cmax with the maximum possible number of connections of the message sender. Further, when the condition I c ≥I cmax is satisfied , the values of I c and I s are decreased by one and the network connection with the sender of mail messages is terminated. Otherwise, if the condition I c ≥I cmax is not met, a command is received indicating the recipients of the e-mail message and the identifiers of the message recipients are extracted from the received command. Then the allocated identifiers of message recipients are compared with the reference identifiers from the memory array M. If, according to the results of the comparison, the allocated identifiers correspond to the reference identifiers of the authorized recipients of messages from the memory array M, then a response is sent to the sender of messages about the readiness to continue the mail transaction. Otherwise, if, according to the comparison results, the allocated identifiers do not correspond to the reference identifiers of the authorized recipients of messages from the memory array M, then a response is generated. Next, set t back the delay time for transmitting the generated response response, and after the time t back, send the generated response response to the sender. If received, at time t back before sending the response, the commands to terminate the network connection from the sender of the e-mail messages decrease the values of I c and I s by one. After that, the network connection with the sender of the mail messages is terminated. Otherwise, if at time t back before sending a response response, there is no command to terminate the network connection from the sender of e-mail messages, then a response response is sent to the sender. Next, they receive the next command that initiates the transmission of mail data and send the sender of the messages a response response about the readiness to receive the text of the e-mail message. The body of the e-mail is then received and the mail transaction is completed by sending a response confirming the transaction. After that, the values of I c and I s are decreased by one and the network connection with the sender of mail messages is terminated. In the preset data, the memory array L is additionally set for storing t generated values of the delay time of intermediate responses to the sender of e-mail messages, where t = 1, 2, ..., T, and T is the total number of generated values of the delay time of intermediate responses to the sender of messages. Then, a memory array V is specified to store d intermediate responses to the sender of the email messages, where d = 1, 2 ... R, and R is the total number of intermediate responses that will be sent to the sender of the email messages before the reply message. Next, set the counter of the generated intermediate responses stored in the memory array V. After that, the memory array J is set to store the correspondence matrix for the d-th intermediate response from the array V of the t-th generated value of the delay time for sending it to the sender of e-mail messages from the memory array L. After that, set memory array P for storing g fragments into which the response response sent to the message sender is divided, where g = 1, 2, ..., G, and G is the total number of formed fragments into which the response response sent to the message sender is divided. Then, a memory array Z is set to store ƒ the generated values of the delay time for the transmission of response fragments to the sender of e-mail messages, where ƒ = 1, 2, ..., F, and F is the total number of generated values of the delay time for sending response fragments to the sender of e-mail messages. Next, a counter of m formed fragments is set, into which the response is divided, stored in the memory array P. After that, the memory array H is set to store the matrix of correspondence to the g-th fragment from the P-th generated value of its delay time from the memory array Z. Further specify an array of memory X for storing and responding to commands from the sender of messages containing error codes in accordance with the specification of the SMTP protocol, where u = 1, 2,… U, and U is the total number of responses to commands from the sender of messages containing error codes. Then, if, after receiving the command identifying the sender, allocating the sender identifiers and comparing them with the reference ones, the allocated identifiers do not correspond to the reference identifiers of authorized senders of messages from the memory array M, then R intermediate responses are generated that will be sent to the sender of e-mail messages before the response response. After that, R intermediate responses are stored in the memory array V and the counter value is set generated intermediate responses stored in the memory array V equal to R. Next, T values of the delay time of intermediate responses to the message sender are formed and T values of the delay time of intermediate responses to the message sender are stored in the memory array L. After that, the correspondence to the d-th intermediate response is stored in the memory array J from the array V of the t-th generated value of its delay time from the memory array L. Then the first of the R generated intermediate responses is read from the memory array J and the first of the T generated delay time values from the memory array L. Next, the first of the R generated intermediate responses is sent to the message sender through the first of the T generated delay time values. After that, the first of the R generated intermediate responses and the first of the T generated delay time values are removed, as well as a record of their correspondence from the memory arrays V, L and J, respectively. Then decrement the value of the counter generated intermediate responses stored in the memory array V per unit. If, after sending an intermediate response, a command to terminate the network connection from the sender of the e-mail messages is received, the values of I c and I s are decreased by one, and the network connection with the sender of the messages is terminated. Otherwise, if, after sending an intermediate response, there is no command to end the network connection from the sender of e-mail messages, then the counter value is read generated intermediate responses. Further, if the value of the counter which means that not all intermediate responses have been sent to the sender of e-mail messages, then the next (d + l) -th of the previously generated R intermediate responses is read. After that, the next (d + 1) th of the previously generated R intermediate responses is sent through the (t + 1) -e value of the delay time to the sender of the e-mail messages, and so on until the condition is met meaning that all intermediate replies are sent to the sender. Then after fulfilling the condition send a response to the sender of the e-mail messages. If, after receiving a command from the sender at the beginning of a mail transaction, allocating sender identifiers, comparing them with reference identifiers, according to the comparison results, the selected identifiers do not correspond to the reference identifiers of authorized senders of messages from the memory array M, then G fragments are formed into which the response the response sent to the sender of the messages. After that, G fragments are stored, into which the response response sent to the sender of messages is divided in the memory array P. Next, the counter value m of the generated fragments is set, into which the response response stored in the memory array P is divided equal to G. Then F values of the delay time are formed for each of the fragments into which the response is divided to the sender. After that, F values of the delay time are stored for each of the fragments, into which the response response to the sender is divided in the memory array Z and the correspondences to the g-th fragment from the array P -th generated value of its delay time from the memory array Z are stored in the memory array H. read from the memory array P the first of the G generated fragments of the response response and from the memory array Z the first of the F generated values of the delay time. Then the first of the G fragments of the response response is sent to the sender of the messages through the first of the Z generated delay times. After that, the first of the G generated fragments of the response response and the first of the F generated values of the delay time are removed, as well as a record of their correspondence from the memory arrays P, Z and H, respectively. Next, the value of the counter m of the generated fragments of the response response stored in the memory array P is decreased by one. In the case of receiving, after sending a fragment of the response response, a command to complete the network connection from the sender of e-mail messages, the values of I c and I s are decreased by one, and the network connection with the sender of the messages is terminated. Otherwise, if, after sending the next fragment of the response response, there is no command to complete the network connection from the sender of e-mail messages, then the value of the counter m of the generated response response fragments is read. If the counter value m ≠ 0, which indicates that not all fragments of the response are sent to the sender of e-mail messages, then the next (g + 1) th of the previously generated G fragments of the response is read. Next, the next (g + lj-th of the previously generated G fragments of the response response is sent through the (ƒ + 1) -e value of the delay time to the sender of e-mail messages, and so on until the condition m = 0 is satisfied, meaning that all fragments of the response response are sent to the sender If, after receiving from the sender of messages a command identifying message recipients, allocating message recipient identifiers, comparing them with reference identifiers, the selected identifiers based on the comparison results do not correspond to the reference identifiers of authorized recipients of messages from the memory array M, then form U response responses to commands from the sender of messages containing error codes in accordance with the specification of the SMTP protocol. After that U response responses are stored in the memory array X and the u-th response response containing an error code is read from X to the command of the sender of e-mail messages. sender of messages electro This mail response contains an error code. If a repeated command is not received from the message sender after the waiting timeout for the received response with an error code or a command to disconnect the established connection has expired, the I c and I s values are decreased by one, and the network connection with the message sender is terminated.
Значение времени задержки для каждого из промежуточных откликов несанкционированному отправителю сообщений электронной почты, перед отправкой ответного отклика получателем, выбирают в пределах от 1 до 10 секунд.The value of the delay time for each of the intermediate responses to the unauthorized sender of e-mail messages, before sending a response by the recipient, is selected in the range from 1 to 10 seconds.
Количество промежуточных откликов, направляемых несанкционированному отправителю сообщений электронной почты, перед отправкой ответного отклика получателем, выбирают в пределах от 1000 до 20000.The number of intermediate responses to be sent to the unauthorized sender of e-mail messages before the recipient sends a response is selected between 1000 and 20,000.
Значение времени задержки для каждого из фрагментов ответного отклика, направляемого несанкционированному отправителю сообщений электронной почты, выбирают в пределах от 1 до 15 секунд.The delay time for each of the response fragments sent to the unauthorized sender of e-mail messages is selected in the range from 1 to 15 seconds.
Величину фрагментов, на которые разбивают ответный отклик несанкционированному отправителю сообщений электронной почты, выбирают в пределах от 1 до 3 байт.The size of the fragments into which to split the response to the unauthorized sender of e-mail messages is selected in the range from 1 to 3 bytes.
Для каждого ложного ответного отклика несанкционированному отправителю сообщений электронной почты значение кода ошибки выбирают случайным образом из стандартных кодов ошибки протокола SMTP.For each false response to an unauthorized sender of e-mail messages, the error code value is randomly selected from standard SMTP error codes.
Благодаря новой совокупности существенных признаков в заявленном способе обеспечивается повышение результативности защиты за счет снижения возможности обнаружения злоумышленником факта использования средств защиты, достигаемой имитацией канала связи с плохим качеством на различных этапах почтовой транзакции, за счет разбиения ответного отклика злоумышленнику на фрагменты и направления этих фрагментов через многочисленные малые интервалы времени задержки, направления ответного отклика злоумышленнику после множества промежуточных откликов, отправленных через многочисленные малые интервалы времени задержки, а также направления злоумышленнику заведомо ложных сообщений о временной или постоянной невозможности продолжения почтовой транзакции.Thanks to the new set of essential features in the claimed method, an increase in the effectiveness of protection is provided by reducing the possibility of an attacker detecting the fact of using protection means, achieved by simulating a communication channel with poor quality at various stages of a mail transaction, by splitting the response response to the attacker into fragments and sending these fragments through numerous small time delays, sending a response to the attacker after many intermediate responses sent at numerous short time intervals, as well as sending deliberately false messages to the attacker about the temporary or permanent impossibility of continuing the mail transaction.
Заявленные объекты изобретения поясняются чертежами, на которых показаны:The claimed objects of the invention are illustrated by drawings, which show:
фиг. 1 - Схема установления сетевого соединения и работы протокола SMTP;fig. 1 - Scheme of establishing a network connection and the operation of the SMTP protocol;
фиг. 2а - Блок-схема последовательности действий, реализующих заявленный способ защиты вычислительных сетей;fig. 2a - Block diagram of the sequence of actions that implement the claimed method of protecting computer networks;
фиг. 2б - Блок-схема последовательности действий, реализующих заявленный способ защиты вычислительных сетей;fig. 2b - Block diagram of the sequence of actions that implement the claimed method of protecting computer networks;
фиг. 3 - Фрагмент почтовой транзакции в момент формирования и направления несанкционированному отправителю промежуточных откликов перед ответным откликом;fig. 3 - Fragment of a postal transaction at the time of formation and sending to an unauthorized sender of intermediate responses before the response;
фиг. 4 - Фрагмент почтовой транзакции в момент формирования и направления несанкционированному отправителю ответного отклика, разбитого на множество фрагментов;fig. 4 - Fragment of a mail transaction at the time of formation and sending to an unauthorized sender of a response response, divided into many fragments;
фиг. 5 - Фрагмент почтовой транзакции в момент формирования и направления несанкционированному отправителю ложного ответного отклика, содержащего код ошибки.fig. 5 - Fragment of a mail transaction at the time of formation and sending to an unauthorized sender of a false response containing an error code.
Реализация заявленного способа объясняется следующим образом. Известно, что нежелательная электронная почта (спам), где под спамом понимается массовая рассылка коммерческой и иной рекламы или иного вида сообщений (информации) лицам, не выражавшим желания их получать, составляет от 60% до 90% всех электронных писем, отправленных по всему миру. Согласно данным «Лаборатории Касперского» в I квартале 2020 года средняя доля спама в мировом почтовом трафике составила 54,61%, доля спама в трафике российского сегмента интернета также достигла максимума в январе 2020 года и составила 52,08%, а первую пятерку стран по количеству исходящего спама возглавила Россия, на ее долю пришлось 20,74% всего мусорного трафика. Для борьбы со спамом, уже достаточно давно, разработаны и применяются ряд систем и методик, а большинство известных методов защиты от спама известны и описаны, например, в статье Ковалев С.С., Шишаев М.Г. Современные методы защиты от нежелательных почтовых рассылок // Труды Кольского научного центра РАН, вып. 7 (информационные технологии вып. 2 4/2011(7)), на стр. 100-111. Основными из них являются байесовская фильтрация, методы на основе формальных протокольных правил, процедурные методы, проверка подлинности отправителя, методы, использующие контрольные сумы и списки блокировки и др. Однако, все эти методы основаны в основном на обнаружении и блокировании уже принятых спам-сообщений, и, по сути, являются реактивными, реагирующими на факт совершенного вредоносного воздействия, в связи с чем они эффективны только при использовании известных шаблонов спам-сообщений. Кроме того, некоторые из известных методов реализуют попытки так называемого силового демонстративного блокирования спам-сообщений, например, такие методы как перенаправление спам-сообщений их отправителям, направление выявленным источникам рассылки спама средств лечения вредоносных программ, предназначенных для рассылки вирусных спам-сообщений и т.д. Применение таких методов противодействия с одной стороны, ведет к компрометации применяемых средств защиты, что способствует их последующему обходу и/или изменению стратегии вредоносного воздействия злоумышленником. С другой стороны, эффективность средств защиты, реализующих эти методы, ограничена их ресурсными возможностями, так как эти методы являются вычислительно интенсивными и требуют для эффективного применения мощных процессоров с большими объемами памяти, в то время как ресурс злоумышленников может быть практически неограничен, что подтверждается их возможностью совершать крупномасштабные DOS и DDOS атаки на основе массовой спам-рассылки с привлечением спам-ботов, что описано, например, в статье Сайты «Единой России» подверглись масштабной DDoS-атаке - INTERFAX.RU. URL: https://www.interfax.ru/russia/609414 (дата обращения 26.05.2020).The implementation of the claimed method is explained as follows. It is known that unsolicited e-mail (spam), where spam is understood as mass mailing of commercial and other advertisements or other types of messages (information) to persons who did not express a desire to receive them, constitutes from 60% to 90% of all e-mails sent worldwide. ... According to Kaspersky Lab data, in Q1 2020 the average share of spam in global mail traffic was 54.61%, the share of spam in traffic in the Russian segment of the Internet also peaked in January 2020 and amounted to 52.08%, and the top five countries in terms of The number of outgoing spam was topped by Russia, accounting for 20.74% of all junk traffic. To combat spam, a number of systems and techniques have been developed and applied for a long time, and most of the well-known methods of protection against spam are known and described, for example, in the article Kovalev S.S., Shishaev M.G. Modern methods of protection against unwanted mailings // Proceedings of the Kola Scientific Center of the Russian Academy of Sciences, vol. 7 (
В связи с этим, актуальность приобретают принципиально новые подходы к борьбе со спамом, основанные на предотвращении самой доставки спам-сообщений от злоумышленника на почтовый сервер. Эти подходы смещают акцент на борьбе со спамом в сторону проактивной защиты, накладывающей ограничение на используемый злоумышленником вычислительный ресурс и вызывающей «истощение» его ресурсов в процессе почтовой транзакции без значительных вычислительных затрат со стороны защищаемой вычислительной сети. Однако известные технические решения, рассмотренные выше, реализующие вопросы проактивной защиты вычислительных сетей от массовой рассылки спам-сообщений, еще недостаточно проработаны и обладают существенными недостатками, а задачи приведения в соответствие таких мер защиты (централизованному) замыслу противодействия спаму только начинают формулироваться отдельными авторами и их кооперациями.In this regard, fundamentally new approaches to combating spam, based on preventing the delivery of spam messages from an attacker to a mail server, are gaining relevance. These approaches shift the emphasis on combating spam towards proactive protection, which imposes a restriction on the computing resource used by the attacker and causes "depletion" of its resources during the mail transaction without significant computational costs on the part of the protected computer network. However, the well-known technical solutions discussed above, which implement the issues of proactive protection of computer networks against mass mailing of spam messages, are still insufficiently developed and have significant drawbacks, and the tasks of bringing such protection measures into compliance with the (centralized) idea of countering spam are just beginning to be formulated by individual authors and their cooperatives.
Таким образом, возникает ряд противоречий между результативностью защиты вычислительных сетей от спам-сообщений и возможностями злоумышленников по компрометации средств защиты, а также между наличием необходимости управления ресурсными возможностями злоумышленника по организации массовой рассылки спам-сообщений и отсутствием технических решений по динамическому управлению параметрами почтовой транзакции со злоумышленником. На устранение указанных противоречий направлен заявленный способ.Thus, a number of contradictions arise between the effectiveness of protecting computer networks from spam messages and the ability of attackers to compromise protection means, as well as between the need to manage the resource capabilities of an attacker to organize mass mailing of spam messages and the lack of technical solutions for dynamic management of parameters of mail transactions with intruder. The claimed method is aimed at eliminating these contradictions.
Заявленный способ реализуют следующим образом. Протокол SMTP предназначен для транспортировки объектов электронной почты через множество вычислительных сетей, что известно и описано, например, в технических спецификациях (RFC, Request for Comments) сети Интернет (см., например, https://tools.ietf.org/html/rfc5321). В RFC 821, см. https://tools.ietf.org/html/rfc82l, два хоста, принимающие участие в транзакции SMTP, описаны как SMTP-sender (отправитель) и SMTP-receiver (получатель). Сеанс SMTP инициируется, когда отправитель соединяется с получателем и тот отвечает ему соответствующим сообщением, как представлено на фиг. 1. После организации коммуникационного канала и согласования параметров отправитель обычно инициирует почтовую транзакцию, состоящую из последовательности команд, задающих отправителя и получателя сообщения электронной почты, а также передачи содержимого письма (включая все заголовки и прочие структуры). Команды SMTP и данные сообщений передаются от отправителя к получателю через коммуникационный канал в форме строк. Получатель отвечает откликом на каждую из полученных команд, который содержит трехзначный номер (передается как три числовых символа), за которым обычно следует строка текста и представляет собой подтверждение (или отказ, содержащий сообщение с кодом временной или постоянной ошибки), передаваемое в форме строк от получателя к отправителю через коммуникационный канал. Диалог между отправителем и получателем осуществляется поэтапно (команда - отклик - команда …), как представлено на фиг. 1. В соответствие с RFC 5321 текст отклика может содержать несколько строк, количество которых не ограничено, но в таких случаях текст должен маркироваться так, чтобы отправитель мог узнать о завершении текста. Это требует использования для многострочных откликов специального формата, регламентирующего, чтобы каждая строка (кроме последней) начиналась кодом отклика, после которого следует дефис (-), а далее текст. В последней строке вместо дефиса используется пробел, после которого может следовать текст. В многострочных откликах коды в каждой строке должны совпадать. В некоторых случаях важные для отправителя данные передаются в тексте отклика.The claimed method is implemented as follows. The SMTP protocol is designed to transport e-mail objects across many computer networks, as is known and described, for example, in the technical specifications (RFC, Request for Comments) of the Internet (see, for example, https://tools.ietf.org/html/ rfc5321). In RFC 821, see https://tools.ietf.org/html/rfc82l, the two hosts participating in an SMTP transaction are described as SMTP-sender (sender) and SMTP-receiver (receiver). An SMTP session is initiated when the sender connects to the recipient and the recipient responds with an appropriate message, as shown in FIG. 1. After establishing the communication channel and agreeing on the parameters, the sender usually initiates a mail transaction, which consists of a sequence of commands specifying the sender and recipient of the e-mail message, as well as the transfer of the message content (including all headers and other structures). SMTP commands and message data are transmitted from sender to recipient via a communication channel in the form of strings. The recipient responds with a response to each of the received commands, which contains a three-digit number (transmitted as three numeric characters), usually followed by a line of text and represents an acknowledgment (or a rejection containing a message with a temporary or permanent error code), transmitted in the form of lines from the recipient to the sender through the communication channel. The dialogue between the sender and the receiver is carried out in stages (command - response - command ...), as shown in FIG. 1. In accordance with RFC 5321, the response text can contain several lines, the number of which is not limited, but in such cases the text must be marked so that the sender can know when the text is complete. This requires the use of a special format for multi-line responses, specifying that each line (except the last) begins with a response code, followed by a hyphen (-), and then text. The last line uses a space instead of a hyphen, followed by text. In multi-line responses, the codes on each line must match. In some cases, data important to the sender is transmitted in the response text.
Ниже приведен пример многострочного отклика:Below is an example of a multi-line response:
250 - Первая строка250 - First line
250 - Вторая строка250 - Second line
250-234 Текст, начинающийся с числа250-234 Text starting with a number
250 Последняя строка250 Last line
После завершения передачи сообщения отправитель может запросить разрыв соединения или инициировать следующую почтовую транзакцию. Почтовая транзакция включает три этапа. Началом транзакции служит команда MAIL, дающая идентификацию отправителя. После этого следует одна или несколько команд RCPT, указывающих получателей сообщения. Последний этап транзакции начинается командой DATA, которая инициирует передачу почтовых данных и завершается индикатором end of mail, который также подтверждает транзакцию. Каждый объект электронной почты состоит из конверта (envelope) и содержимого. Конверт SMTP передается как серия протокольных элементов SMTP. Конверт содержит адрес отправителя (по которому должны возвращаться отчеты об ошибках) и один или более адресов получателей, а также дополнительную информацию для расширений протокола.After the message is complete, the sender can request a disconnect or initiate the next mail transaction. There are three stages in a mail transaction. The start of the transaction is the MAIL command, which identifies the sender. This is followed by one or more RCPT commands that indicate the recipients of the message. The last stage of the transaction begins with the DATA command, which initiates the transmission of mail data, and ends with the end of mail indicator, which also confirms the transaction. Each email object consists of an envelope and content. The SMTP envelope is transmitted as a series of SMTP protocol elements. The envelope contains the sender address (to which error reports should be returned) and one or more recipient addresses, as well as additional information for protocol extensions.
Для передачи информации между удаленными локальными вычислительными сетями посредством протоколов взаимодействия устанавливают канал связи, под которым понимают информационные потоки от отправителя к получателю. Структура пакетов сообщений известна, как известен и принцип передачи пакетов в вычислительных сетях, что дает возможность анализа идентификаторов источника и получателя информационных потоков и формирования опорных идентификаторов. Так, совокупность полей адресов отправителя и получателя пакета сообщений, является идентификаторами информационных потоков. Кроме того, идентифицировать отправителя и конечного получателя сообщения будет указанный или определенный клиентом SMTP домен. В других случаях, когда клиенты SMTP связаны с реализациями протоколов POP в соответствии с RFC 937 https://tools.ietf.org/html/rfc937, RFC 1939 https://tools.ietf.org/html/rfcl939 и IMAP в соответствии с RFC 3501 https://tools.ietf.org/html/rfc3501 или клиент располагается внутри изолированной транспортной среды, идентифицированный домен будет определять промежуточного получателя, через которого будут транслироваться все сообщения электронной почты.To transfer information between remote local area networks by means of interaction protocols, a communication channel is established, which is understood as information flows from the sender to the recipient. The structure of message packets is known, and the principle of packet transmission in computer networks is also known, which makes it possible to analyze the source and destination identifiers of information flows and generate reference identifiers. So, the set of fields of the addresses of the sender and recipient of a packet of messages are identifiers of information flows. In addition, the domain specified or specified by the SMTP client will identify the sender and final recipient of the message. In other cases where SMTP clients are bundled with POP protocol implementations as per RFC 937 https://tools.ietf.org/html/rfc937, RFC 1939 https://tools.ietf.org/html/rfcl939 and IMAP as per with RFC 3501 https://tools.ietf.org/html/rfc3501 or the client resides inside an isolated transport environment, the identified domain will determine the intermediate recipient through which all e-mail messages will be broadcast.
На фиг. 2 представлена блок-схема последовательности действий, реализующих заявленный способ защиты вычислительных сетей, в которой приняты следующие обозначения:FIG. 2 shows a block diagram of the sequence of actions that implement the claimed method of protecting computer networks, in which the following designations are adopted:
N≥1 - база из опорных идентификаторов санкционированных отправителей и получателей сообщений электронной почты;N≥1 - base of reference identifiers of authorized senders and recipients of e-mail messages;
Ic - счетчик подключений отправителя сообщений;I c - counter of connections of the message sender;
Icmax - максимально возможное количество подключений отправителя сообщений электронной почты;I cmax - the maximum possible number of connections from the sender of e-mail messages;
М - массив памяти для хранения опорных идентификаторов санкционированных отправителей сообщений электронной почты;M is a memory array for storing reference identifiers of authorized senders of e-mail messages;
Is - счетчик общего количества подключений всех отправителей сообщений электронной почты;I s - counter of the total number of connections of all senders of e-mail messages;
Ismax - максимально возможное количество подключений всех отправителей сообщений электронной почты;I smax - the maximum possible number of connections for all senders of e-mail messages;
L - массив памяти для хранения t сформированных значений времени задержки промежуточных откликов отправителю сообщений электронной почты, где t=1, 2, …, Т, а T - общее количество сформированных значений времени задержки промежуточных откликов отправителю сообщений;L is a memory array for storing t generated values of the delay time of intermediate responses to the sender of e-mail messages, where t = 1, 2, ..., T, and T is the total number of generated values of the delay time of intermediate responses to the sender of messages;
V- массив памяти для хранения d промежуточных откликов отправителю сообщений электронной почты, где d=l, 2 … R, a R - общее количество промежуточных откликов, которые будут направлены отправителю сообщений электронной почты перед ответным сообщением;V is an array of memory for storing d intermediate responses to the sender of e-mail messages, where d = l, 2 ... R, a R is the total number of intermediate responses that will be sent to the sender of e-mail messages before the response message;
- счетчик сформированных промежуточных откликов, хранящихся в массиве памяти V; - counter of generated intermediate responses stored in the memory array V;
J - массив памяти для хранения матрицы соответствия d-му промежуточному отклику из массива V t-го сформированного значения времени задержки его направления отправителю сообщений электронной почты из массива памяти L;J is a memory array for storing a matrix of correspondence with the d-th intermediate response from the array V of the t-th generated value of the delay time for sending it to the sender of e-mail messages from the memory array L;
Р - массив памяти для хранения g фрагментов, на которые разделяют ответный отклик, направляемый отправителю сообщений, где g=1, 2, …, G, a G - общее количество сформированных фрагментов, на которые разделяют ответный отклик, направляемый отправителю сообщений;P is an array of memory for storing g fragments into which the response response sent to the message sender is divided, where g = 1, 2, ..., G, and G is the total number of formed fragments into which the response response sent to the message sender is divided;
Z - массив памяти для хранения ƒ сформированных значений времени задержки передачи фрагментов ответного отклика отправителю сообщений электронной почты, где ƒ=1, 2, …, F, a F - общее количество сформированных значений времени задержки направления фрагментов ответного отклика отправителю сообщений электронной почты;Z is a memory array for storing ƒ generated values of the delay time for the transmission of response fragments to the sender of e-mail messages, where ƒ = 1, 2,…, F, and F is the total number of generated values of the delay time for sending response fragments to the sender of e-mail messages;
m - счетчик сформированных фрагментов, на которые разделяют ответный отклик, хранящихся в массиве памяти Р;m - counter of formed fragments, into which the response is divided, stored in the memory array P;
Н - массив памяти для хранения матрицы соответствия g-му фрагменту из массива Р ƒ-го сформированного значения времени его задержки из массива памяти Z;H - memory array for storing the matrix of correspondence to the g-th fragment from the P array of the ƒ-th generated value of its delay time from the memory array Z;
Х - массив памяти для хранения и ответных откликов на команды отправителя сообщений, содержащих коды ошибки в соответствии со спецификацией протокола SMTP, где u=1, 2, … U, a U - общее количество ответных откликов на команды отправителя сообщений, содержащих коды ошибки.X is an array of memory for storing and responding to commands from the sender of messages containing error codes in accordance with the SMTP protocol specification, where u = 1, 2,… U, and U is the total number of responses to commands from the sender of messages containing error codes.
Для повышения результативности защиты за счет снижения вероятности обнаружения злоумышленником факта использования средств защиты, имитируют канал связи с плохим качеством. Для этого в предварительно заданные данные для исключения возможности идентификации злоумышленником средств защиты по продолжительным задержкам ответных откликов от получателя сообщений электронной почты, а также для предотвращения возможности обхода злоумышленником средств защиты за счет установки коротких тайм-аутов ожидания ответных откликов, в предварительно заданные данные дополнительно задают (см. блок 1 на фиг. 2а) массив памяти L для хранения t сформированных значений времени задержки промежуточных откликов отправителю сообщений электронной почты, где t=1, 2, …, T, а T - общее количество сформированных значений времени задержки промежуточных откликов отправителю сообщений. Использование интервалов времени t, в течение которого отправителю сообщений будут направлены промежуточные отклики, применяется для увеличения времени диалога с отправителем спам-сообщений в процессе почтовой транзакции, например, так как показано на фиг. 3.To improve the effectiveness of protection by reducing the likelihood of an attacker discovering the fact of using protection means, they simulate a communication channel with poor quality. To do this, in the preset data to exclude the possibility of identification by the attacker of the protection means by long delays in response from the recipient of e-mail messages, as well as to prevent the possibility of the attacker bypassing the protection means by setting short timeouts for waiting for response responses, in the preset data, additionally set (see
Затем задают (см. блок 1 на фиг. 2а) массив памяти V для хранения d промежуточных откликов отправителю сообщений электронной почты, где d=1, 2 … R, a R - общее количество промежуточных откликов, которые будут направлены отправителю сообщений электронной почты перед ответным сообщением. Для того, чтобы задать массив памяти, статически или динамически выделяют объем оперативной памяти (в байтах).Then set (see
Далее задают (см. блок 1 на фиг. 2а) счетчик сформированных промежуточных откликов, хранящихся в массиве памяти V.Next, set (see
После этого задают (см. блок 1 на фиг. 2а) массив памяти J для хранения матрицы соответствия d-му промежуточному отклику из массива V t-го сформированного значения времени задержки его направления отправителю сообщений электронной почты из массива памяти L.After that, a memory array J is set (see
Затем для повышения результативности способа защиты и снижения вероятности обнаружения злоумышленником факта использования средств защиты, применяют разбиение ответного отклика на команды отправителя на фрагменты и направление этих фрагментов отправителю через многочисленные малые интервалы времени, чем достигают невозможность обхода средств защиты злоумышленником за счет использования коротких тайм-аутов ожидания ответного отклика, например, так как показано на фиг. 4. Для этого в предварительно заданные данные дополнительно задают (см. блок 1 на фиг. 2а) массив памяти Р для хранения g фрагментов, на которые разделяют ответный отклик, направляемый отправителю сообщений, где g=1, 2, …, G, a G - общее количество сформированных фрагментов, на которые разделяют ответный отклик, направляемый отправителю сообщений.Then, to increase the effectiveness of the protection method and reduce the likelihood of an attacker detecting the fact of using protection means, the response response to the sender's commands is split into fragments and these fragments are sent to the sender at numerous small time intervals, which makes it impossible for the attacker to bypass the means of protection through the use of short timeouts. waiting for a response, for example, as shown in FIG. 4. To do this, in the preset data additionally set (see
Затем задают (см. блок 1 на фиг. 2а) массив памяти Z для хранения ƒ сформированных значений времени задержки передачи фрагментов ответного отклика отправителю сообщений электронной почты, где ƒ=1, 2, …, F, a F - общее количество сформированных значений времени задержки направления фрагментов ответного отклика отправителю сообщений электронной почты.Then, a memory array Z is set (see
Далее задают (см. блок 1 на фиг. 2а) счетчик m сформированных фрагментов, на которые разделяют ответный отклик, хранящихся в массиве памяти Р.Next, set (see
После этого задают (см. блок 1 на фиг. 2а) массив памяти Н для хранения матрицы соответствия g-му фрагменту из массива Р ƒ-го сформированного значения времени его задержки из массива памяти Z.After that, a memory array H is set (see
Далее для введения злоумышленника в заблуждение о статусе почтовой транзакции и увеличении времени диалога с ним, а также для предотвращения процесса рассылки спам-сообщений спам-ботами, не способными исправлять ошибки, полученные в ответном отклике и направлять получателю повторные команды после исправления, при идентификации злоумышленника, ответные отклики, содержащие код ошибки, будут направляться ему в независимости от правильности его реагирования на ответный отклик, например, так как показано на фиг. 5. Для этого задают (см. блок 1 на фиг. 2а) массив памяти X для хранения u ответных откликов на команды отправителя сообщений, содержащих коды ошибки в соответствии со спецификацией протокола SMTP, где u=1, 2, … U, a U - общее количество ответных откликов на команды отправителя сообщений, содержащих коды ошибки.Further, to mislead the attacker about the status of the mail transaction and increase the time of dialogue with him, as well as to prevent the process of sending spam messages by spam bots that are unable to correct errors received in the response response and send repeated commands to the recipient after correction, when the attacker is identified , response responses containing an error code will be sent to it regardless of whether it responds correctly to the response response, for example, as shown in FIG. 5. To do this, set (see
Затем, если после установления сетевого соединения с отправителем (см. блок 2 на фиг. 2а), направления отправителю инициирующего сеанс SMTP отклика (см. блок 3 на фиг. 2а), увеличения значений Is (см. блок 4 на фиг. 2а) и Ic (см. блок 5 на фиг. 2а) на единицу, сравнения значений Is и Ismax (см. блок 6 на фиг. 2а), и в случае выполнения условия Is≥Ismax приема (см. блок 7 на фиг. 2а) идентифицирующей отправителя команды, выделения (см. блок 8 на фиг. 2а) идентификаторов отправителя и их сравнения (см. блок 9 на фиг. 2а) с опорными, выделенные идентификаторы не соответствуют опорным идентификаторам санкционированных отправителей сообщений из массива памяти М, то формируют (см. блок 10 на фиг. 2а) R промежуточных откликов, которые будут направлены отправителю сообщений электронной почты перед ответным откликом.Then, if after establishing a network connection with the sender (see
После этого запоминают (см. блок 11 на фиг. 2а) R промежуточных откликов в массиве памяти V и устанавливают (см. блок 12 на фиг. 2а) значение счетчика сформированных промежуточных откликов, хранящихся в массиве памяти V равным R.After that, R intermediate responses are stored (see
Далее формируют (см. блок 13 на фиг. 2а) Т значений времени задержки промежуточных откликов отправителю сообщений и запоминают (см. блок 14 на фиг. 2а) Т значений времени задержки промежуточных откликов отправителю сообщений в массиве памяти L.Next, T values of the delay time of intermediate responses to the message sender are generated (see
После этого запоминают (см. блок 15 на фиг. 2а) в массиве памяти J соответствие d-му промежуточному отклику из массива V t-го сформированного значения времени его задержки из массива памяти L.After that, remember (see
Затем считывают (см. блок 16 на фиг.2а) из массива памяти J первый из R сформированных промежуточных откликов и из массива памяти L первое из Т сформированных значений времени задержки.Then read (see
Далее направляют (см. блок 17 на фиг. 2а) отправителю сообщений первый из R сформированных промежуточных откликов через первое из Т сформированных значений времени задержки. Этим достигают увеличение продолжительности диалога с отправителем сообщений.Next, the first of the R generated intermediate responses is sent (see
После этого удаляют (см. блок 18 на фиг. 2а) первый из R сформированных промежуточных откликов и первое из Т сформированных значений времени задержки, а также запись об их соответствии из массивов памяти V, L и J соответственно.After that, the first of the R generated intermediate responses and the first of the T generated delay time values are deleted (see
Затем уменьшают (см. блок 19 на фиг. 2а) значение счетчика сформированных промежуточных откликов, хранящихся в массиве памяти V на единицу.Then decrease (see
В случае получения после отправки промежуточного отклика команды на завершение сетевого соединения от отправителя сообщений электронной почты (см. блок 20 на фиг. 2а) значения Ic и Is уменьшаются на единицу (см. блок 53 на фиг. 2б), а сетевое соединение с отправителем сообщений завершается (см. блок 54 на фиг. 2б).If, after sending an intermediate response, a command to complete a network connection is received from the sender of e-mail messages (see
В ином случае, если, после отправки промежуточного отклика, команды на завершение сетевого соединения от отправителя сообщений электронной почты не последовало, то считывают (см. блок 21 на фиг. 2а) значение счетчика сформированных промежуточных откликов.Otherwise, if, after sending the intermediate response, there is no command to complete the network connection from the sender of the e-mail messages, then read (see
Далее, в случае, если значение счетчика что говорит о том, что еще не все промежуточные отклики направлены отправителю сообщений электронной почты, то считывают (см. блок 16 на фиг. 2а) очередной (d+1)-й из ранее сформированных R промежуточных откликов.Further, if the value of the counter which means that not all intermediate responses have been sent to the sender of e-mail messages, then the next (d + 1) th of the previously generated R intermediate responses is read (see
После этого направляют (см. блок 17 на фиг. 2а) очередной (d+1)-й из ранее сформированных R промежуточных откликов через (t+1)-е значение времени задержки отправителю сообщений электронной почты, и так до тех пор, пока не будет выполнено условие (см. блок 21 на фиг. 2а), означающее, что все промежуточные отклики направлены отправителю.After that, the next (d + 1) th of the previously generated R intermediate responses is sent (see
Затем после выполнения условия направляют (см. блок 22 на фиг. 2а) ответный отклик отправителю сообщений электронной почты.Then after fulfilling the condition sending (see
В случае если после приема (см. блок 23 на фиг. 2а) от отправителя сообщений команды на начало почтовой транзакции, выделения идентификаторов отправителя (см. блок 24 на фиг. 2а), их сравнения с опорными идентификаторами (см. блок 25 на фиг. 2а), по результатам сравнения выделенные идентификаторы не соответствуют опорным идентификаторам санкционированных отправителей сообщений из массива памяти М, то формируют (см. блок 27 на фиг. 2а) G фрагментов на которые разделяют ответный отклик, направляемый отправителю сообщений.If, after receiving (see
После этого запоминают (см. блок 28 на фиг. 2а) G фрагментов, на которые разделяют ответный отклик, направляемый отправителю сообщений, в массиве памяти Р.After that, G fragments are stored (see
Далее устанавливают (см. блок 29 на фиг. 2а) значение счетчика m сформированных фрагментов, на которые разделяют ответный отклик, хранящихся в массиве памяти Р, равным G.Next, set (see
Затем формируют (см. блок 30 на фиг. 2а) F значений времени задержки для каждого из фрагментов, на которые разделяют ответный отклик отправителю.Then form (see
После этого запоминают (см. блок 31 на фиг. 2а) F значений времени задержки для каждого из фрагментов, на которые разделяют ответный отклик отправителю в массиве памяти Z и запоминают (см. блок 32 на фиг. 2б) в массиве памяти Н соответствия g-му фрагменту из массива Р ƒ-го сформированного значения времени его задержки из массива памяти Z.After that, F values of the delay time for each of the fragments are stored (see
Далее считывают (см. блок 33 на фиг. 2б) из массива памяти Р первый из G сформированных фрагментов ответного отклика и из массива памяти Z первое из F сформированных значений времени задержки.Next, read (see
Затем направляют (см. блок 34 на фиг. 2б) отправителю сообщений первый из G фрагментов ответного отклика через первое из Z сформированных значений времени задержки.Then the first of the G fragments of the response response is sent (see
После этого удаляют (см. блок 35 на фиг. 2б) первый из G сформированных фрагментов ответного отклика и первое из F сформированных значений времени задержки, а также запись об их соответствии из массивов памяти Р, Z и H соответственно.After that, the first of the G generated fragments of the response response and the first of the F generated delay time values are deleted (see
Далее уменьшают (см. блок 36 на фиг. 2б) значение счетчика m сформированных фрагментов ответного отклика, хранящихся в массиве памяти Р, на единицу. Этим обеспечивают учет отправленных фрагментов ответного отклика.Next, the value of the counter m of the generated response response fragments stored in the memory array P is reduced (see
В случае получения после отправки фрагмента ответного отклика команды на завершение сетевого соединения от отправителя сообщений электронной почты (см. блок 37 на фиг. 2б) значения Ic и Is уменьшаются на единицу (см. блок 53 на фиг. 2б), а сетевое соединение с отправителем сообщений завершается (см. блок 54 на фиг. 2б).In the case of receiving, after sending a fragment of the response response, a command to complete the network connection from the sender of e-mail messages (see
В ином случае, если после отправки очередного фрагмента ответного отклика команды на завершение сетевого соединения от отправителя сообщений электронной почты не последовало, то считывают (см. блок 38 на фиг. 2б) значение счетчика m сформированных фрагментов ответного отклика.Otherwise, if after sending the next fragment of the response response there is no command to complete the network connection from the sender of e-mail messages, then read (see
В случае, если значение счетчика m≠0, что говорит о том, что еще не все фрагменты ответного отклика направлены отправителю сообщений электронной почты, то считывают (см. блок 33 на фиг. 2б) очередной (g+l)-й из ранее сформированных G фрагментов ответного отклика. Далее направляют (см. блок 34 на фиг. 2б) очередной (g+1)-й из ранее сформированных G фрагментов ответного отклика через (ƒ+1)-e значение времени задержки отправителю сообщений электронной почты, и так до тех пор, пока не будет выполнено условие m=0, означающее, что все фрагменты ответного отклика направлены отправителю.If the value of the counter m ≠ 0, which indicates that not all fragments of the response have been sent to the sender of e-mail messages, then the next (g + l) -th from earlier is read (see
В случае если после приема (см. блок 39 на фиг. 2б) от отправителя сообщений команды, идентифицирующей получателей сообщений, сравнения (см. блок 40 на фиг. 2б) значения Ic счетчика количества подключений отправителя сообщений Icmax максимально возможным количеством подключений отправителя сообщений и в случае выполнения условия Ic≥Icmax выделения (см. блок 41 на фиг. 2б) идентификаторов получателей сообщений, их сравнения (см. блок 42 на фиг. 2б) с опорными идентификаторами выделенные идентификаторы по результатам сравнения не соответствуют опорным идентификаторам санкционированных получателей сообщений из массива памяти М, то формируют (см. блок 43 на фиг. 2б) U ответных откликов на команды отправителя сообщений, содержащих коды ошибки в соответствии со спецификацией протокола SMTP.If, after receiving (see
После этого запоминают (см. блок 44 на фиг. 2б) U ответных откликов в массиве памяти X и считывают (см. блок 45 на фиг. 2б) из X u-й ответный отклик, содержащий код ошибки, на команду отправителя сообщений электронной почты.After that, U response responses are stored (see
Далее направляют (см. блок 46 на фиг. 2б) отправителю сообщений электронной почты ответный отклик, содержащий код ошибки.Next, a response response containing an error code is sent (see
В случае неполучения повторной команды от отправителя сообщений по истечении времени тайм-аута ее ожидания на полученный отклик с кодом ошибки или получения (см. блок 47 на фиг. 2б) команды о разрыве установленного соединения, значения Ic и Is уменьшаются на единицу (см. блок 53 на фиг. 2б), а сетевое соединение с отправителем сообщений завершается (см. блок 54 на фиг. 2б).If a repeated command is not received from the message sender after the timeout expires for the received response with an error code or receipt (see
В ином случае отправителю сообщений электронной почты направляется ответный отклик (см. блок 48 на фиг. 2б), после чего принимается (см. блок 49 на фиг. 2б) команда, инициирующая передачу почтовых данных, отправителю направляется ответный отклик (см. блок 50 на фиг. 2б), затем принимается текст сообщения электронной почты (см. блок 51 на фиг. 2б) и завершается (см. блок 52 на фиг. 2б) почтовая транзакция. Далее значения Ic и Is уменьшаются на единицу (см. блок 53 на фиг. 2б), а сетевое соединение с отправителем сообщений завершается (см. блок 54 на фиг. 2б).Otherwise, a response is sent to the sender of e-mail messages (see
Для исключения компрометации средств защиты по постоянному значению времени задержки промежуточных откликов, значения времени задержки для каждого из промежуточных откликов несанкционированному отправителю сообщений электронной почты, перед отправкой ответного отклика получателем, выбирают в пределах от 1 до 10 секунд.To avoid the compromise of security measures by a constant value of the delay time of intermediate responses, the delay time for each of the intermediate responses to the unauthorized sender of e-mail messages, before sending a response by the recipient, is selected in the range from 1 to 10 seconds.
Количество промежуточных откликов, направляемых несанкционированному отправителю сообщений электронной почты, перед отправкой ответного отклика получателем, выбирают в пределах от 1000 до 20000.The number of intermediate responses to be sent to the unauthorized sender of e-mail messages before the recipient sends a response is selected between 1000 and 20,000.
Значение времени задержки для каждого из фрагментов ответного отклика, направляемого несанкционированному отправителю сообщений электронной почты, выбирают в пределах от 1 до 15 секунд.The delay time for each of the response fragments sent to the unauthorized sender of e-mail messages is selected in the range from 1 to 15 seconds.
Величину фрагментов, на которые разбивают ответный отклик несанкционированному отправителю сообщений электронной почты, выбирают в пределах от 1 до 3 байт.The size of the fragments into which to split the response to the unauthorized sender of e-mail messages is selected in the range from 1 to 3 bytes.
Для каждого ложного ответного отклика несанкционированному отправителю сообщений электронной почты значение кода ошибки выбирают случайным образом из стандартных кодов ошибки протокола SMTP.For each false response to an unauthorized sender of e-mail messages, the error code value is randomly selected from standard SMTP error codes.
Таким образом, в заявленном способе обеспечивается достижение сформулированной цели, заключающейся в повышении результативности защиты за счет снижения возможности обнаружения злоумышленником факта использования средств защиты, достигаемой имитацией канала связи с плохим качеством на различных этапах почтовой транзакции, за счет разбиения ответного отклика злоумышленнику на фрагменты и направления этих фрагментов через многочисленные малые интервалы времени задержки, направления ответного отклика злоумышленнику после множества промежуточных откликов, отправленных через многочисленные малые интервалы времени задержки, а также направления злоумышленнику заведомо ложных сообщений о временной или постоянной невозможности продолжения почтовой транзакции.Thus, the claimed method ensures the achievement of the formulated goal, which is to increase the effectiveness of protection by reducing the possibility of an attacker detecting the fact of using protection means, achieved by simulating a communication channel with poor quality at various stages of a mail transaction, by splitting the response to the attacker into fragments and directions of these fragments at numerous short time intervals, forwarding a response to the attacker after many intermediate responses sent at multiple short time intervals, as well as sending deliberately false messages to the attacker about the temporary or permanent impossibility of continuing the mail transaction.
Claims (6)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2020125357A RU2745004C1 (en) | 2020-07-23 | 2020-07-23 | Method for protecting computing networks |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2020125357A RU2745004C1 (en) | 2020-07-23 | 2020-07-23 | Method for protecting computing networks |
Publications (1)
Publication Number | Publication Date |
---|---|
RU2745004C1 true RU2745004C1 (en) | 2021-03-18 |
Family
ID=74874423
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2020125357A RU2745004C1 (en) | 2020-07-23 | 2020-07-23 | Method for protecting computing networks |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2745004C1 (en) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020107928A1 (en) * | 2001-01-10 | 2002-08-08 | Denis Chalon | Process and apparatus for email handling |
US20070220600A1 (en) * | 2006-03-17 | 2007-09-20 | Mirosoft Corporation | Response Delay Management Using Connection Information |
US7539761B1 (en) * | 2003-12-19 | 2009-05-26 | Openwave Systems, Inc. | System and method for detecting and defeating IP address spoofing in electronic mail messages |
US20110258272A1 (en) * | 2008-07-03 | 2011-10-20 | Barracuda Networks Inc. | Facilitating transmission of an email of a well behaved sender by extracting email parameters and querying a database |
RU2472308C1 (en) * | 2011-05-19 | 2013-01-10 | Владимир Алексеевич Небольсин | Prevention of unauthorised bulk e-mail |
-
2020
- 2020-07-23 RU RU2020125357A patent/RU2745004C1/en active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020107928A1 (en) * | 2001-01-10 | 2002-08-08 | Denis Chalon | Process and apparatus for email handling |
US7539761B1 (en) * | 2003-12-19 | 2009-05-26 | Openwave Systems, Inc. | System and method for detecting and defeating IP address spoofing in electronic mail messages |
US20070220600A1 (en) * | 2006-03-17 | 2007-09-20 | Mirosoft Corporation | Response Delay Management Using Connection Information |
US20110258272A1 (en) * | 2008-07-03 | 2011-10-20 | Barracuda Networks Inc. | Facilitating transmission of an email of a well behaved sender by extracting email parameters and querying a database |
RU2472308C1 (en) * | 2011-05-19 | 2013-01-10 | Владимир Алексеевич Небольсин | Prevention of unauthorised bulk e-mail |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8601064B1 (en) | Techniques for defending an email system against malicious sources | |
EP2080324B1 (en) | Reputation-based method and system for determining a likelihood that a message is undesired | |
US9100423B2 (en) | Systems and methods for detecting and preventing flooding attacks in a network environment | |
US7600258B2 (en) | Methods and systems for detecting and preventing the spread of malware on instant messaging (IM) networks by using fictitious buddies | |
US8219630B2 (en) | System and method for detecting and filtering unsolicited and undesired electronic messages | |
US7926108B2 (en) | SMTP network security processing in a transparent relay in a computer network | |
US7822818B2 (en) | Methods and systems for detecting and preventing the spread of malware on instant messaging (IM) networks by using automated IM users | |
US7577993B2 (en) | Methods and systems for detecting and preventing the spread of malware on instant messaging (IM) networks by using Bayesian filtering | |
EP2136526A1 (en) | Method, device for identifying service flows and method, system for protecting against a denial of service attack | |
CN110198293B (en) | Attack protection method and device for server, storage medium and electronic device | |
WO2009011807A1 (en) | Sender authentication for difficult to classify email | |
CN109587167B (en) | Message processing method and device | |
JP2009527058A (en) | How to verify the intended recipient of an electronic message before delivery, and how to dynamically generate message content upon confirmation | |
US7823200B2 (en) | Methods and systems for detecting and preventing the spread of malware on instant messaging (IM) networks by analyzing message traffic patterns | |
US8301712B1 (en) | System and method for protecting mail servers from mail flood attacks | |
EP2281371B1 (en) | Statistical spam message detection | |
AU2009299539B2 (en) | Electronic communication control | |
RU2690749C1 (en) | Method of protecting computer networks | |
US20090172176A1 (en) | Method and apparatus for filtering electronic messages | |
JP4659096B2 (en) | System and method for preventing unsolicited electronic message delivery by key generation and comparison | |
RU2745004C1 (en) | Method for protecting computing networks | |
RU2747638C1 (en) | Method for protecting computer networks | |
CN109617893B (en) | Method and device for preventing botnet DDoS attack and storage medium | |
RU2686023C1 (en) | Method of protecting computer networks | |
Zadgaonkar et al. | Developing a model to detect e-mail address spoofing using biometrics technique |