Tarpit (redes)

Ir a: navegación, búsqueda de
Para otras aplicaciones, vea Pozo de Brea (desambiguación).

A Tarpit (también conocido como Teergrube, la palabra alemana para tarpit (Pronunciación de alemán: [ˈteːɐ̯ˌɡʁuːbə])) es un servicio en un sistema informático (generalmente un servidor) que retrasa deliberadamente las conexiones entrantes. La técnica fue desarrollada como una defensa contra un gusano informático, y la idea es que red abusos como spam o amplia exploración son menos eficaces y por lo tanto menos atractivo, si llevan demasiado tiempo. El concepto es análogo con un pozo de brea, en que los animales pueden empantanarse y hundirse lentamente bajo la superficie, como un pantano.

Contenido

  • 1 SMTP tarpits
    • 1.1 Fondo
  • 2 Nivel de IP tarpits
  • 3 La idea original de tarpit
  • 4 Mixto tarpits nivel SMTP-IP
  • 5 Implementaciones comerciales de alquitrán-picaduras
  • 6 Véase también
  • 7 Referencias

SMTP tarpits

Una de las posibles avenidas que se consideraban a batalla a granel-spam a la vez, era establecer una pequeña cuota por cada correo enviado. Introduciendo dicho costo artificial, con un impacto insignificante sobre uso legítimo mientras la cuota es lo suficientemente pequeña, spam automatizado de masa-escala instantáneamente se convertiría en poco atractivo. Se haga tarpit podría ser visto como un enfoque similar (pero técnicamente menos complejo), donde el costo para el spammer sería medido en términos de tiempo y eficiencia en lugar de dinero.

Los procedimientos de autenticación aumentan los tiempos de respuesta como tentativa de usuarios contraseñas no válidas. Autenticación SMTP no es una excepción. Sin embargo, las transferencias de servidor a servidor SMTP, que es donde se inyecta spam, no requieren autenticación. Varios métodos han sido discutidos e implementado para SMTP tarpits, sistemas que se conectan a la Agente de transferencia de correo (MTA, por ejemplo, el software de servidor de correo) o sentarse frente a ella como un proxy.

Un método aumenta tiempo de transferencia de todos los correos por unos segundos al retrasar el mensaje de saludo inicial ("Saluda a retraso"). La idea es que no importa si toma un poco más para entregar un correo legítimo, pero debido al alto volumen, hará una diferencia para los spammers. La desventaja de esto es que las listas de correo y otras masa-correos legítimos tendrán que ser explícitamente lista blanca o también sufrirán.

Algunos correo electrónico sistemas, tales como sendmail 8.13 +, implementar una forma más fuerte de retardo de saludo. Este formulario se detiene cuando la conexión se estableció por primera vez y escucha para el tráfico. Si detecta cualquier tráfico antes de su propio saludo (en violación de RFC 2821) se cierra la conexión. Puesto que muchos de los spammers no escriba sus implementaciones de SMTP a la especificación, esto puede reducir el número de mensajes de spam entrante.

Otro método es retrasar sólo conoce los spammers, por ejemplo mediante el uso de un lista negra (véase Spam, DNSBL). OpenBSD ha integrado este método en su sistema de base desde OpenBSD 3.3,[1] con un propósito especial daemon (spamd) y funcionalidad en el firewall (pf) para redirigir los spammers conocidos a este tarpit.

MS Exchange puede tarpit remitentes que envían a una dirección no válida. Intercambio puede hacer esto porque el conector SMTP se conecta al sistema de autenticación.

Es una idea más sutil Greylisting, que, en términos simples, rechaza el primer intento de conexión desde cualquier dirección IP previamente-invisible. La suposición es que la mayoría de los spammers intento solamente una conexión (o algunos intentos durante un período corto de tiempo) para enviar cada mensaje, considerando que los sistemas de entrega de correo legítimo se mantenga reintentando durante un largo periodo. Después de que vuelva a intentarlo, ellos eventualmente se permitirá en sin algún impedimento adicional.

Por último, un método más elaborado intenta pegar tarpits y software de filtrado, filtrado de correo electrónico en tiempo real, mientras se transmite, y añadiendo retrasos a la comunicación en respuesta al indicador del filtro del "spam" probabilidad". Por ejemplo, el filtro de spam haría una "suposición" después de cada línea o después de cada x bytes recibidos en cuanto a la probabilidad de que este mensaje va a ser spam. Lo más probable es, más el MTA retrasará la transmisión.

Fondo

SMTP se compone de las solicitudes, que son en su mayoría palabrotas como el correo y respuestas, que son números de tres dígitos (como mínimo). En la última línea de la respuesta, el número es seguido de un espacio; en las líneas anteriores le sigue por un guión. Por lo tanto, en la determinación de que se intentó enviar un mensaje es spam, un servidor de correo puede responder:

451-Ophiomyia prima es un agromyzid 451-Ophiomyia mosca secunda es un agromyzid 451-Ophiomyia mosca tertia es un agromyzid 451-Ophiomyia mosca quarta es un agromyzid 451-Ophiomyia mosca quinta es una sexta mosca 451-Ophiomyia agromyzid es un agromyzid 451-Ophiomyia mosca septima es una mosca agromyzid 451 tu dirección IP aparece en la DNSBL. Inténtalo de nuevo más tarde.

El tarpit espera a 15 o más segundos entre líneas (largas demoras se admiten en SMTP, como los seres humanos a veces envían correo manualmente para probar servidores de correo). Esto ATA para arriba el SMTP proceso de envío en la computadora de los remitentes de spam para limitar la cantidad de spam puede enviar.

Nivel de IP tarpits

El kernel de Linux puede ahora ser parchado para permitir que se haga tarpit de conexiones entrantes en lugar de la caída más habitual de los paquetes. Esto es implementado en iptables mediante la adición de un objetivo TARPIT.[2] La misma inspección de paquetes y correspondencia características puede ser aplicado a tarpit objetivos como se aplican a otros objetivos.

La idea original de tarpit

Tom Liston desarrolló el programa original se haga tarpit LaBrea.[3] Puede proteger toda una red con un tarpit en una sola máquina.

La máquina de la escucha de peticiones ARP que van sin respuesta (indica direcciones no utilizadas), entonces las respuestas a estas solicitudes, recibe la inicial Paquete SYN del escáner y envía un SYN/ACK en la respuesta. No abrir un socket o preparar una conexión, de hecho puede olvidar la conexión después de enviar el SYN/ACK. Sin embargo, el sitio remoto envía su ACK (que obtiene ignorado) y cree que el 3-forma-saludo a completarse. Entonces comienza a enviar datos, que nunca llega a un destino. La conexión será un descanso después de un rato, pero puesto que el sistema cree que se trata de una conexión en vivo (establecida), es conservador en el momento fuera y en su lugar intentará retransmitir retroceda, retransmitir, etc. durante mucho tiempo.

Las versiones posteriores de Lábrea también añadieron funcionalidad para responder a los datos entrantes, otra vez con paquetes IP crudos y sin tomas de corriente u otros recursos del servidor de tarpit, paquetes falsos que solicitan que el envío del sitio "más despacio". Esto mantendrá la conexión establecida y perder aún más tiempo del escáner.

Mixto tarpits nivel SMTP-IP

Un servidor puede determinar que un determinado mensaje es spam, por ejemplo porque estaba dirigido a un trampa de spam, o después de los informes de los usuarios confiables. El servidor puede decidir que la dirección IP responsable de enviar el mensaje merece se haga tarpit. Cotejo contra disponible DNSBLs puede ayudar a evitar incluyendo inocentes reenviadores en la base de datos de tarpit. A demonio explotación de Linux libipq luego puede comprobar la dirección remota de las conexiones SMTP entrantes contra la base de datos. SpamCannibal es un software GPL diseñado alrededor de esta idea;[4] Empalizada se implementa un proyecto similar usando FreeBSD Ipfirewall.

Una ventaja de se haga tarpit a nivel IP es que son regulares conexiones TCP manejadas por un MTA Stateful. Es decir, aunque el MTA no usa mucha CPU mientras duerme, todavía utiliza la cantidad de memoria requerida para mantener el estado de cada conexión. Por el contrario, es estilo LaBrea se haga tarpit apátrida, ganando así la ventaja de un costo reducido contra la caja de los remitentes de spam. Sin embargo, debe ser observado que haciendo uso de botnets, los spammers pueden externalizar la mayoría de sus costos de recursos informáticos.

Implementaciones comerciales de alquitrán-picaduras

Además de MS Exchange, ha habido dos otras implementaciones comerciales exitosas de la idea de pozo de brea. El primero fue desarrollado por TurnTide, una compañía startup con sede en Filadelfia, que fue adquirida por Symantec en el año 2004 por $ 28 millones en efectivo.[5] El TurnTide Anti Spam Router contiene un modificado Linux núcleo que le permite reproducir varios trucos con TCP tráfico, como variar la TCP tamaño de la ventana. Agrupar varios remitentes de correo electrónico en las clases de tráfico diferentes y limitando el ancho de banda para cada clase, se reduce la cantidad de tráfico abusivo - especialmente cuando el tráfico abusivo viene de fuentes individuales que son fácilmente identificables por su alto volumen de tráfico.

Tras la adquisición de Symantec, una empresa canadiense Inicio llamado MailChannels lanzó su software "Control de tráfico", que utiliza un enfoque diferente para lograr resultados similares. Control de tráfico es una semi-en tiempo real Proxy SMTP. A diferencia del aparato de TurnTide, que se aplica Traffic Shaping en la capa de red, Control de tráfico se aplica tráfico shaping a remitentes individuales en la capa de aplicación. Este enfoque resulta en un manejo más efectivo de spam tráfico procedentes de Botnets porque permite el software tráfico lento de zombis spam individuales, en lugar de tráfico que requieren zombie a agruparse en una clase.

Véase también

  • Turing tarpit
  • Técnicas anti-spam (correo electrónico)
  • Correo-fregadero

Referencias

  1. ^ Página de comando man de spamd liberación 3.3
  2. ^ https://xtables-addons.SF.net/
  3. ^ Tom Liston habla de Lábrea
  4. ^ https://www.spamcannibal.org/
  5. ^ https://Archive.is/20120716044720/https://News.cnet.com/Symantec+Snaps+up+antispam+firm/2100-7355_3-5266548.html

Este artículo está basado en material extraído de la Diccionario en línea gratuito de la computación antes de 01 de noviembre de 2008 e incorporada bajo los términos "conjetura" de la GFDL, versión 1.3 o posterior.

Otras Páginas

Obtenido de"https://en.copro.org/w/index.php?title=tarpit _ (networking) & oldid = 615433718"