Jump to content

Тарпит (сеть)

Чтобы узнать о других значениях, см. Смоляная яма (значения) .

Тарпит это служба в компьютерной системе (обычно на сервере ), которая намеренно задерживает входящие соединения. Этот метод был разработан как защита от компьютерного червя , и идея состоит в том, что сетевые злоупотребления, такие как рассылка спама или широкое сканирование, менее эффективны и, следовательно, менее привлекательны, если они занимают слишком много времени. Концепция аналогична смоляной яме , в которой животные могут увязнуть и медленно опуститься под поверхность, как в болоте .

Оригинальная идея тартара

[ редактировать ]

Том Листон разработал оригинальную программу тарпитинга LaBrea . [1] Он может защитить всю сеть, запустив tarpit на одной машине.

Машина прослушивает запросы протокола разрешения адресов , которые остаются без ответа (с указанием неиспользуемых адресов), затем отвечает на эти запросы, получает исходный пакет SYN сканера и отправляет в ответ SYN/ACK . Он не открывает сокет и не подготавливает соединение, фактически он может забыть о соединении после отправки SYN/ACK. Однако удаленный сайт отправляет свой ACK (который игнорируется) и считает, что трехстороннее рукопожатие завершено. Затем он начинает отправлять данные, которые никогда не достигают пункта назначения. Соединение истечет через некоторое время, но поскольку система считает, что имеет дело с действующим (установленным) соединением, она консервативна в тайм-ауте и вместо этого будет пытаться повторить передачу, откатить, повторить передачу и т. д. в течение довольно длительного времени. пока.

Более поздние версии LaBrea также добавили функциональность для ответа на входящие данные, снова используя необработанные IP-пакеты и отсутствие сокетов или других ресурсов tarpit-сервера, с фиктивными пакетами, которые требуют, чтобы отправляющий сайт «замедлился». Это сохранит соединение и приведет к потере времени сканера.

SMTP-задержки

[ редактировать ]

Одним из возможных способов борьбы с массовым спамом, который когда-то рассматривался, было введение небольшой платы за каждое отправленное письмо. Введение такой искусственной стоимости с незначительным влиянием на законное использование, пока плата достаточно мала, автоматический массовый спам мгновенно станет непривлекательным. Тарпиттинг можно рассматривать как аналогичный (но технически гораздо менее сложный) подход, при котором затраты спамера будут измеряться временем и эффективностью, а не деньгами.

Процедуры аутентификации увеличивают время ответа, когда пользователи пытаются ввести неверный пароль. SMTP-аутентификация не является исключением. Однако SMTP-передача между серверами, куда попадает спам, не требует аутентификации. Были обсуждены и реализованы различные методы для тарпитов SMTP, систем, которые подключаются к агенту передачи почты (MTA, т. е. программному обеспечению почтового сервера) или работают перед ним в качестве прокси.

Один метод увеличивает время передачи всех писем на несколько секунд за счет задержки исходного приветственного сообщения («задержка приветствия»). Идея состоит в том, что не имеет значения, займет ли доставка законного письма немного больше времени, но из-за большого объема это будет иметь значение для спамеров. Обратной стороной этого является то, что списки рассылки и другие законные массовые рассылки должны быть явно внесены в белый список , иначе они тоже пострадают.

Некоторые системы электронной почты, такие как sendmail 8.13+, реализуют более сильную форму задержки приветствия. Эта форма приостанавливается при первом установлении соединения и прослушивает трафик. Если он обнаруживает какой-либо трафик до своего приветствия (в нарушение RFC 2821), он закрывает соединение. Поскольку многие спамеры не включают свои реализации SMTP в спецификацию, это может уменьшить количество входящих спам-сообщений.

Другой метод — задерживать только известных спамеров, например, используя черный список (см. Спам , DNSBL ). OpenBSD интегрировала этот метод в свою базовую систему начиная с OpenBSD 3.3. [2] со специальным демоном ( spamd ) и функциональностью брандмауэра ( pf ) для перенаправления известных спамеров в эту тарпит.

MS Exchange может блокировать отправителей, отправляющих сообщения на неверный адрес. Exchange может сделать это, поскольку соединитель SMTP подключен к системе аутентификации.

Более тонкая идея — серый список , который, проще говоря, отклоняет первую попытку подключения с любого ранее невидимого IP-адреса. Предполагается, что большинство спамеров делают только одну попытку подключения (или несколько попыток в течение короткого периода времени) для отправки каждого сообщения, тогда как законные системы доставки почты будут повторять попытки в течение более длительного периода. После повторной попытки им в конечном итоге будет разрешено войти без каких-либо дальнейших препятствий.

Наконец, более сложный метод пытается объединить тарпиты и программное обеспечение для фильтрации, фильтруя электронную почту в реальном времени во время ее передачи и добавляя задержки в обмене данными в ответ на индикатор «вероятности спама» фильтра. Например, спам-фильтр будет делать «догадку» после каждой строки или после каждого полученного x байта относительно того, насколько вероятно, что это сообщение будет спамом. Чем более вероятно это, тем больше MTA будет задерживать передачу.

Фон

[ редактировать ]

SMTP состоит из запросов, которые в основном представляют собой четырехбуквенные слова, такие как MAIL, и ответов, которые представляют собой (как минимум) трехзначные числа. В последней строке ответа за номером следует пробел; в предыдущих строках за ним следует дефис. Таким образом, определив, что сообщение, которое пытаются отправить, является спамом, почтовый сервер может ответить: 

451-Ophiomyia prima is an agromyzid fly
451-Ophiomyia secunda is an agromyzid fly
451-Ophiomyia tertia is an agromyzid fly
451-Ophiomyia quarta is an agromyzid fly
451-Ophiomyia quinta is an agromyzid fly
451-Ophiomyia sexta is an agromyzid fly
451-Ophiomyia septima is an agromyzid fly
451 Your IP address is listed in the DNSBL. Please try again later.

Тарпит ожидает между строками пятнадцать или более секунд (в SMTP допускаются большие задержки, поскольку люди иногда отправляют почту вручную для тестирования почтовых серверов). Это связывает процесс отправки SMTP на компьютере спамера, чтобы ограничить количество спама, который он может отправить.

Тарпиты уровня IP

[ редактировать ]

Ядро Linux теперь можно исправить, чтобы разрешить блокировку входящих соединений вместо более обычного отбрасывания пакетов. Это реализовано в iptables путем добавления цели TARPIT. [3] К тарпит-целям можно применять те же функции проверки и сопоставления пакетов, что и к другим целям.

Смешанные задержки на уровне SMTP-IP

[ редактировать ]

Сервер может определить, что данное почтовое сообщение является спамом, например, потому, что оно было адресовано спам-ловушке , или после сообщений доверенных пользователей. Сервер может решить, что IP-адрес, ответственный за отправку сообщения, заслуживает блокировки. Перекрестная проверка доступных DNSBL может помочь избежать включения невинных серверов пересылки в базу данных tarpit. Демон , использующий Linux libipq, может затем проверить удаленный адрес входящих SMTP-соединений по этой базе данных. SpamCannibal — это программное обеспечение под лицензией GPL, разработанное на основе этой идеи; [4] Stockade — аналогичный проект, реализованный с использованием FreeBSD ipfirewall .

Одним из преимуществ tarpitting на уровне IP является то, что обычные TCP-соединения, обрабатываемые MTA, сохраняют состояние . То есть, хотя MTA не использует много ресурсов ЦП во время сна, он все равно использует объем памяти, необходимый для хранения состояния каждого соединения. Напротив, тарпиттинг в стиле Лабреа не имеет состояния , что дает преимущество в виде снижения затрат по сравнению с ящиком спамера. Однако следует отметить, что, используя ботнеты , спамеры могут перенести большую часть затрат на компьютерные ресурсы на внешний рынок.

Критика

[ редактировать ]

Известно, что заблокированное соединение может генерировать значительный объем трафика в направлении получателя, поскольку отправитель считает соединение установленным и пытается отправить (а затем повторно передать) фактические данные. На практике, учитывая текущий средний размер компьютерного ботнета, более разумным решением будет полное удаление подозрительного трафика без использования тарпитов. Таким образом, будут повторно передаваться только сегменты TCP SYN, а не все запросы HTTP или HTTPS. [5]

Коммерческое внедрение смоляной ямки

[ редактировать ]

Помимо MS Exchange, было еще две успешных коммерческих реализации идеи смоляной ямы. Первый был разработан TurnTide , стартапом из Филадельфии, который был приобретен Symantec в 2004 году за 28 миллионов долларов наличными. [6] содержит Антиспамовый маршрутизатор TurnTide модифицированное ядро ​​Linux , которое позволяет ему выполнять различные трюки с TCP- трафиком, например изменять размер TCP- окна. Группируя различных отправителей электронной почты по разным классам трафика и ограничивая пропускную способность для каждого класса, объем неправомерного трафика снижается, особенно когда неправомерный трафик поступает из отдельных источников, которые легко идентифицировать по большому объему трафика.

После приобретения Symantec канадская стартап-компания MailChannels выпустила свое программное обеспечение «Контроль трафика», в котором используется несколько иной подход для достижения аналогичных результатов. работающий в полуреальном времени Traffic Control — это SMTP-прокси, . В отличие от устройства TurnTide, которое применяет формирование трафика на сетевом уровне, Traffic Control применяет формирование трафика к отдельным отправителям на уровне приложений. Этот подход приводит к несколько более эффективной обработке спам-трафика, исходящего от ботнетов , поскольку он позволяет программному обеспечению замедлять трафик от отдельных спам-зомби, а не требовать объединения трафика зомби в класс.

См. также

[ редактировать ]

Ссылки

[ редактировать ]
  1. ^ Том Листон рассказывает о Лабреа
  2. ^ Справочная страница Spamd
  3. ^ http://xtables-addons.sf.net/ [ мертвая ссылка ]
  4. ^ http://www.spamcannibal.org/ [ мертвая ссылка ]
  5. ^ Себастьян, Уолла (2019). «MALPITY: автоматическое выявление и использование уязвимостей Tarpit во вредоносном ПО». Европейский симпозиум IEEE по безопасности и конфиденциальности (EuroS&P) Безопасность и конфиденциальность (EuroS&P) : 590–605.
  6. ^ «Symantec покупает фирму по борьбе со спамом — CNET News» . Архивировано из оригинала 16 июля 2012 года.
Retrieved from "https://en.wikipedia.org/w/index.php?title=Tarpit_(networking)&oldid=1221955719"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: a794b187def8467319357ca63574a234__1714685880
URL1:https://arc.ask3.ru/arc/aa/a7/34/a794b187def8467319357ca63574a234.html
Заголовок, (Title) документа по адресу, URL1:
Tarpit (networking) - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)