[FZH] LinuxToy 投稿:FOSS 邮件列表被用于洪水攻击
Tom Li
biergaizi2009 at gmail.com
Thu May 7 14:43:07 UTC 2015
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
黑日白月,抄送的 Fedora 邮件列表的全体订阅者您好:
近日起,多名用户遭到强烈的邮件洪水攻击,严重影响的部分人的正常工作,而更加令人气愤的是,这次攻击利用的是自由和开源软件项目的基础设施。如果
LinuxToy 能报道这一问题,问题会在社区引起关注度,最终很有希望得到解决。因此,我向您投稿如下。如果能得到采纳,我将十分感谢。
比尔盖子
![A Flooded Mailbox][1]
近日起,比尔盖子在 24 小时内收到了 20000
封来自公共邮件列表的订阅确认邮件,八成都来自自由和开源软件(FOSS)项目的邮件列表。而涵盖的项目也至少多达 20 个,不限于
OpenBSD、FreeBSD、GNU 计划、Ubuntu、CentOS、Qt、HostAp,甚至是以邮件著称的
Postfix。“订阅者”来自多个 IP。
在社交网络上分享经历后,不到 5 个小时,截至第一次发稿,仅在新浪微博就确认了受害者 @LI欣欣zn, @黑椒饼干, @路过的小新,
@玩脱了的奶鱼, @機智的阿卡林chan, @06peng, @被窝型笨笨鱼, @和樹白翼,
@无名小卒_路人A,似乎以技术圈为主。紧接下来的几天内,确认的受害者里更是出现了萌娘百科官方邮箱,[月光博客的作者 William
Long][2],上海 Linux 用户组的 Thomas
等显著案例。部分受害者的邮箱因来信太多已经停止工作。个人用户只能暂时利用关键词过滤器规避攻击。更有甚者,@和樹白翼
紧急更换的新邮箱居然在新的一波攻击中遭殃。
邮件列表是 FOSS 项目的重要交流工具,日常开发几乎完全倚仗邮件列表。订阅邮件列表时,常见的程序均会给用户发送确认邮件,避免用户受到骚扰。然而,由于
FOSS 项目邮件列表大量存在,这就使得利用确认邮件本身加以骚扰他人成为可能。邮件列表通常均使用 GNU
Mailman,而且通常不设有验证,更是为批量自动化操作提供了捷径。一个数字节的 POST 请求即可放大为内容更长的电子邮件。
这已经不是第一次发生类此状况,去年,[GNOME 基金会管理的 FreeDesktop.org
列表就被利用进行攻击][3],管理者通过自行给 GNU Mailman 订阅增加了 reCAPTCHA
验证解决了问题。然而,还有大量的社区邮件列表处于没有保护的境地下(如 Fedora
Project)。如果公共邮件列表一旦被广泛利用,这类低成本的攻击将会严重耗费 FOSS
项目系统资源,影响大量潜在的个人或机构正常使用电邮,如果这类邮件被归类为垃圾邮件,更会影响用户和开发者的正常工作。
[1]: https://biergaizi.info/ftp/IT/ScreenShots/mailing-list-flooding.png
[2]: http://www.williamlong.info/archives/4225.html
[3]: https://www.dragonsreach.it/2014/05/03/adding-recaptcha-support-to-mailman/
(原载于个人博客 https://biergaizi.info/archives/2015/05/1976.html)
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2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=1IfH
-----END PGP SIGNATURE-----
More information about the Chinese
mailing list