Tarpit (сеть) - Tarpit (networking)
А битумная яма это услуга на компьютерная система (обычно сервер ), который намеренно задерживает входящие соединения. Техника была разработана как защита от компьютерный червь, а идея состоит в том, что сеть злоупотребления, такие как рассылка спама или широкое сканирование менее эффективны и, следовательно, менее привлекательны, если они занимают слишком много времени. Концепция аналогична битумная яма, в котором животные могут увязнуть и медленно погрузиться под воду, как в болото.
Оригинальная идея тента
Том Листон разработали оригинальную программу брезента ЛаБреа.[1] Он может защитить всю сеть с помощью тарпита, запущенного на одной машине.
Машина слушает Протокол разрешения адресов запросы, которые остаются без ответа (с указанием неиспользуемых адресов), затем отвечает на эти запросы, получает начальные SYN пакет сканера и отправляет SYN / ACK в ответ. Он не открывает сокет и не подготавливает соединение, фактически он может полностью забыть о соединении после отправки SYN / ACK. Однако удаленный сайт отправляет свой ACK (который игнорируется) и считает, что трехстороннее рукопожатие завершено. Затем он начинает отправлять данные, которые никогда не достигают места назначения. Время ожидания соединения истечет через некоторое время, но поскольку система считает, что имеет дело с действующим (установленным) соединением, она консервативна в выборе тайм-аута и вместо этого будет пытаться ретранслировать, откладывать, повторно передавать и т. Д. В течение довольно длительного времени. пока.
Более поздние версии LaBrea также добавили функциональность для ответа на входящие данные, опять же с использованием необработанных IP-пакетов и без сокетов или других ресурсов сервера tarpit, с поддельными пакетами, которые требуют, чтобы отправляющий сайт «замедлился». Это позволит сохранить соединение и потратить еще больше времени на сканер.
SMTP tarpits
Одним из возможных способов борьбы с массовым спамом в свое время было введение небольшой платы за каждое отправленное письмо. Если ввести такую искусственную плату, с незначительным влиянием на законное использование, пока плата будет достаточно небольшой, автоматизированный массовый спам мгновенно станет непривлекательным. Тарпитинг можно рассматривать как аналогичный (но технически гораздо менее сложный) подход, в котором затраты для спамера будут измеряться с точки зрения времени и эффективности, а не денег.
Процедуры аутентификации увеличивают время ответа, когда пользователи пытаются ввести неверные пароли. SMTP-аутентификация - не исключение. Однако SMTP-передача от сервера к серверу, в которую вводится спам, не требует аутентификации. Были обсуждены и реализованы различные методы для тарпитов SMTP, систем, которые подключаются к Агент пересылки почты (MTA, то есть программное обеспечение почтового сервера) или сидеть перед ним в качестве прокси.
Один метод увеличивает время передачи всех писем на несколько секунд, задерживая начальное приветственное сообщение («задержка приветствия»). Идея состоит в том, что не будет иметь значения, если доставка законного письма займет немного больше времени, но из-за большого объема это будет иметь значение для спамеров. Обратной стороной этого является то, что списки рассылки и другие законные массовые рассылки должны быть явно внесен в белый список или они тоже пострадают.
Некоторые почтовые системы, например Отправить письмо 8.13+, реализуйте более сильную форму задержки приветствия. Эта форма приостанавливается при первом установлении соединения и прослушивает трафик. Если он обнаруживает какой-либо трафик до своего собственного приветствия (в нарушение RFC 2821 ) он закрывает соединение. Поскольку многие спамеры не записывают свои реализации SMTP в спецификации, это может уменьшить количество входящих спам-сообщений.
Другой метод - задерживать только известных спамеров, например используя черный список (видеть Рассылка спама, DNSBL ). OpenBSD интегрировал этот метод в свою базовую систему, начиная с OpenBSD 3.3,[2] с помощью специального демона (спам ) и функциональность в брандмауэре (ПФ ), чтобы перенаправить известных спамеров на этот тарпит.
MS Exchange может задерживать отправителей, отправляющих сообщения на неверный адрес. Exchange может это сделать, потому что коннектор SMTP подключен к системе аутентификации.
Более тонкая идея серый список, который, говоря простым языком, отклоняет первую попытку подключения с любого ранее невидимого IP-адреса. Предполагается, что большинство спамеров делают только одну попытку подключения (или несколько попыток за короткий период времени) для отправки каждого сообщения, тогда как легитимные системы доставки почты будут повторять попытки в течение более длительного периода. После повторной попытки им будет разрешено войти без каких-либо дополнительных препятствий.
Наконец, более сложный метод пытается склеить брезент и программное обеспечение для фильтрации, фильтруя электронную почту в реальном времени, пока она передается, и добавляя задержки к коммуникации в ответ на индикатор «вероятности спама» фильтра. Например, спам-фильтр будет делать «предположение» после каждой строки или после каждых x полученных байтов относительно вероятности того, что это сообщение будет спамом. Чем больше вероятность, тем больше MTA будет задерживать передачу.
Фон
SMTP состоит из запросов, которые в основном состоят из четырехбуквенных слов, таких как MAIL, и ответов, которые (как минимум) представляют собой трехзначные числа. В последней строке ответа за номером следует пробел; в предыдущих строках после него ставится дефис. Таким образом, при определении того, что отправляемое сообщение является спамом, почтовый сервер может ответить:
451-Ophiomyia prima является агромизидом fly 451-Ophiomyia secunda является агромизидом fly 451-Ophiomyia tertia является агромизидом fly 451-Ophiomyia quarta является агромизидом fly 451-Ophiomyia quinta является агромизидом fly 451-Ophiomyia quinta является агромизидом fly 451-seomyia quinta является агромизидомия анатомия 451-seomyia ana Agromyzida fly 451-seagromyzidomyia anagromyzidomyia 451-seagromyzidomyia ange Ваш IP-адрес указан в DNSBL. Пожалуйста, повторите попытку позже.
Брезент ждет пятнадцать или более секунд между строками (в SMTP разрешены длительные задержки, поскольку люди иногда отправляют почту вручную на тестовые почтовые серверы). Это связывает процесс отправки SMTP на компьютере спамера, чтобы ограничить количество спама, которое он может отправить.
Тенты уровня IP
Ядро Linux теперь можно пропатчить, чтобы разрешить задержку входящих соединений вместо более обычного отбрасывания пакетов. Это реализовано в iptables добавлением цели TARPIT.[3] К целям tarpit можно применить те же функции проверки и сопоставления пакетов, что и к другим целям.
Тарпиты смешанного уровня SMTP-IP
Сервер может определить, что данное почтовое сообщение является спамом, например потому что он был адресован ловушка для спама, или после отчетов доверенных пользователей. Сервер может решить, что IP-адрес, ответственный за отправку сообщения, заслуживает ответа. Перекрестная проверка с доступными DNSBL может помочь избежать включения невиновных экспедиторы в базе данных tarpit. А демон использование Linux libipq затем может проверить удаленный адрес входящих SMTP-подключений по этой базе данных. SpamCannibal - это программное обеспечение под лицензией GPL, разработанное на основе этой идеи;[4] Частокол аналогичный проект, реализованный с использованием FreeBSD ipfirewall.
Одним из преимуществ задержки ответов на уровне IP является то, что обычные TCP-соединения, обрабатываемые MTA, сохранный. То есть, хотя MTA не использует много ЦП во время сна, он по-прежнему использует объем памяти, необходимый для хранения состояния каждого соединения. Напротив, тент в стиле Лабреа без гражданства, таким образом получая преимущество меньшей стоимости по сравнению с ящиком спамера. Однако следует отметить, что использование ботнеты, спамеры могут возложить на себя большую часть затрат на ресурсы своего компьютера.
Критика
Известно, что закрытое соединение может генерировать значительный объем трафика к получателю, поскольку отправитель считает соединение установленным и пытается отправить (а затем повторно передать) фактические данные. На практике, учитывая текущий средний размер компьютерных ботнетов, более разумным решением будет полное отключение подозрительного трафика без возражений. Таким образом, будут повторно передаваться только сегменты TCP SYN, а не все запросы HTTP или HTTPS.[5]
Коммерческое применение гудронного питтинга
Помимо MS Exchange, были еще две успешные коммерческие реализации идеи tar Pit. Первый был разработан TurnTide, стартап из Филадельфии, который был приобретен Symantec в 2004 году за 28 миллионов долларов наличными.[6] В Маршрутизатор TurnTide Anti Spam Router содержит измененный Linux ядро, которое позволяет использовать различные трюки с TCP трафик, например, изменение TCP размер окна. Группируя различных отправителей электронной почты в разные классы трафика и ограничивая пропускную способность для каждого класса, количество оскорбительного трафика уменьшается, особенно когда оскорбительный трафик исходит из отдельных источников, которые легко определить по их высокому объему трафика.
После приобретения Symantec канадская стартап-компания позвонила MailChannels выпустили свою программу «Контроль трафика», которая использует несколько иной подход для достижения аналогичных результатов. Управление трафиком - это полу-реальное время Прокси SMTP. В отличие от TurnTide, в котором применяется формирование трафика на сетевом уровне Управление трафиком применяет формирование трафика к отдельным отправителям на прикладном уровне. Такой подход приводит к несколько более эффективной обработке спам-трафика, исходящего от ботнеты потому что это позволяет программному обеспечению замедлять трафик от отдельных зомби-спамеров, вместо того, чтобы требовать объединения трафика зомби в класс.
Смотрите также
Рекомендации
- ^ Том Листон рассказывает о Лабреа
- ^ Справочная страница Spamd
- ^ http://xtables-addons.sf.net/
- ^ http://www.spamcannibal.org/
- ^ Себастьян, Валла (2019). «MALPITY: автоматическая идентификация и использование уязвимостей Tarpit в вредоносном ПО». Европейский симпозиум IEEE по безопасности и конфиденциальности (EuroS & P) Безопасность и конфиденциальность (EuroS & P): 590–605.
- ^ https://archive.is/20120716044720/http://news.cnet.com/Symantec+snaps+up+antispam+firm/2100-7355_3-5266548.html
Статья основана на материалах, взятых из Бесплатный онлайн-словарь по вычислительной технике до 1 ноября 2008 г. и зарегистрированы в соответствии с условиями «перелицензирования» GFDL, версия 1.3 или новее.