Ergebnis 1 bis 4 von 4

Thema: Teergruben FAQ

  1. #1
    selzilla
    Gast

    Standard Teergruben FAQ

    Was braucht der UBE Sender? Was verkauft er?
    Eine bestimmte Anzahl versendeter E-Mails pro Zeiteinheit. Das ganze Produkt nennt er dann Unsolicited Bulk E-Mail (Unverlangte Massen E-Mail).
    Wie kann man einem UBE Sender schaden?
    Indem man ihm seine Arbeitsmittel zerstört.
    Bitte?
    E-Mail Versand erfolgt über SMTP. Dabei wird eine TCP/IP Verbindung zum MX Host des betreffenden Empfängers hergestellt. Üblicherweise kann ein Rechner max. 65500 TCP/IP Verbindung gleichzeitig offenhalten, in der Regel sind es weniger (Ressourcenlimit, z.B. MAX_SOCKET, MAX_FILE_DESCRIPTOR).
    Wenn es gelingt, einen Port bei der Mailauslieferung offen zu halten, bspw. über mehrere Stunden, so reduziert sich die Leistungsfähigkeit des UBE Senders. SMTP bietet dazu die Fortsetzungszeilen, mit denen die SMTP Session offengehalten werden kann, ohne daß ein Timeout zuschlägt.
    Was eine Teergrube nun macht, ist einen genauso präparierten MTA dazu zu bewegen, daß er eben (in Abhängigkeit vom SMTP-Absender) den Prozeß auflaufen läßt.

    Wie sehen Fortsetzungszeilen des SMTP aus?
    Ein SMTP Host sendet als Antwort auf die Kommandos des Clients Zeilen, die aus einem Fehlercode, einem Leerzeichen und einem menschenlesbaren Text bestehen. Wird das Leerzeichen durch ein Minuszeichen ersetzt, so bedeutet das, daß der Host noch nicht mit der Antwort fertig ist. Das ganze kann dann so aussehen:
    help
    214-This is Sendmail version 8.8.5
    214-Topics:
    214- HELO EHLO MAIL RCPT DATA
    214- RSET NOOP QUIT HELP VRFY
    214- EXPN VERB ETRN DSN
    214-For more info use "HELP <topic>".
    214-To report bugs in the implementation send email to
    214- sendmail-bugs@sendmail.org.
    214-For local information send email to Postmaster at your site.
    214 End of HELP info
    Sendet man nun derartige Fortsetzungszeilen im Abstand von Minuten, so verbraucht das fast keine Bandbreite und stoppt des UBE Versenderhost wirksam.

    Wer hatte denn zuerst diese Idee?
    In <54csin$m6g@white.koehntopp.de> schreibt Kristian Köhntopp die Idee Axel Zinser zu. Er erwähnt dort auch den nützlichen Nebeneffekt, daß viele MTAs den kompletten SMTP Dialog mitloggen, also bei Teergruben Gigabyte an Log zu verwalten haben.
    Was ist, wenn der UBE Sender nun andere Hosts zum relay benutzt?
    Dann zieht es diesen mißbrauchten Relayhost zu. Der entsprechende Admin bemerkt die Funktionsunfähigkeit seines Systems und macht es so dicht, wie notwendig. Er hatte es ja sowieso falsch konfiguriert...
    Wenn nun UBE-Sender das erkennen und keine UBE mehr an diese Teergruben versenden, damit ihre Maschine freibleibt zum weiterspammen?
    Think about it. Das war das Ziel: Mailauslieferung ist möglich, UBE nicht.
    Wie erkennt eine Teergrube, daß am anderen Ende ein Spammer sitzt?
    Es müssen IP Bereiche definiert werden, aus denen der Spam kommt. Beispielsweise ist der AGIS (All you Get Is Spam = Apex Global Information Systems/Service) die IP-Bereiche 204.137.128/18, 204.137.192/19, 205.137.48/18, 205.164.64/17, 205.254.160/22, 205.254.176/21, 207.142/16, 209.14/16 zugewiesen worden.
    Beim Verbindungsaufbau erhält er sofort die IP Nummer der Gegenstelle.

    Wie bekommt man die IP Bereiche heraus?
    Im Falle von AGIS: `whois NETBLK-AGIS...` Analog für die anderen Spammer.
    Wie verhindert man, daß sie auch normale Mailer, die einen erreichen wollen, schädigt?
    Wird ein normaler Mailer zufällig mit von der Teergrube erwischt, so ist das in der Regel nicht weiter dramatisch, da es auf beiden Systemen nur einen Port zuzieht. Die Mailauslieferung erfolgt in jedem Fall, nur dauert es länger als üblich.
    Muß die Teergrube auch viele Sockets offenhalten?
    Sie benötigt ein bis zehn Ports. Der Spammer dagegen für jede Teergrube ein bis zehn. Der Vorteil der Verteidiger liegt ihn ihrer Dezentralität. Beim Spammer läuft es zentral auf. Je mehr Teergruben, desto besser.
    Was ist, wenn der UBE Sender seinerseits über hunderte von Maschinen verfügt? Jede mit 65000 Ports. Oder über bulk-mail-Software mit spezial TCP-Stacks die diese Obergrenze nicht kennen (Virtuelle Interfaces pp.)?
    Dann muß der Spammer auch für diesen Aufwand zahlen. Die Frage ist dann nur noch wer zuerst aufgibt: Der Spammer mit Technikeinkauf oder die vielen Admins mit Softwareinstallationen.
    Ob das bisschen Knete, dass er mit UBE machen kann diese Hardware, deren Anschluss und Unterhaltung wiedereinbringt?
    Die Nutzung von Wegwerf-Einwähl-Accounts für Spammer ist auch ausgeschlossen. Man kann den ISP anrufen und ihm sagen: "Ihr Kunde auf Leitung ... spammt gerade. Bitte klemmen Sie ihn ab und verklagen Sie ihn. Danke."

    Was ist, wenn der UBE Sender seinerseits auf meiner Machine alle verfügbaren ports aufmacht (und damit meine mail Versorgung zu?)?
    Alles, was er tun kann, ist Dir den Mailport 25 zu belegen, bis Deine sonstigen Ressourcen aufgebraucht sind. Mit einem non-forking Mailer dauert das sehr lange. Es ist sehr unwahrscheinlich, daß ein Spammer Zeit und Ressource für diese Art der "Rache" aufbringt.
    Darüberhinaus kann man ihn auf diese Aktion verklagen.

    Ist es nicht paradox, eine Netzanbindung künstlich langsamer machen zu müssen, damit sie nutzbar bleibt?
    Ja. Aber es hilft.
    Das klingt kompliziert, warum kann man die UBE-Spammer nicht einfach abweisen?
    Einige hundert Teergruben machen das Versenden von UBE weltweit schwierig bis unmöglich, ohne den normalen E-Mail Transport zu gefährden. Es kann ja sein, daß bei einem spammerfreundlichen Provider (z.B. AGIS) auch normale Menschen angeschlossen sind, zu denen Kontakte bestehen sollen! Blockt man komplett, verhindert man Kommunikation komplett. Das ist unerwünscht.
    Abgesehen davon kann ein Blocking zwar den Anweder des Blockings schützen, jedoch hilft es den anderen Netzbewohnern nicht im geringsten. Es ist ein Selbstschutz jedoch kein echter UBE-Schutz.

    Was muß man sein, um Teergruben laufen zu lassen? Postmaster?
    Admin auf der Maschine, die den MX Host fährt. Ist man das nicht, so sollte man den betreffenden Admin kontaktieren.
    Wo gibt`s fertige Teergruben?
    http://www.de.spam.abuse.net/webland/spam/ und insbesondere Axel Zinsers eigener Patch auf ftp://ftp.hiss.han.de/pub/sendmail/. Für Systeme, die definitiv keine Post empfangen können, eignet sich ein Perl-Script der Boston Business Computing.

    Wieviele Teergruben gibt es schon und werden diese irgendwo gelistet?
    Unbekannt. Wer mag kann sich melden.
    Gibt es Erfahungen mit Teergruben?
    Axel hat einen Spammer für mehr als zwei Tage online gehalten.
    In thur.net.admin veröffentlicht eine real existierende Teergrube tägliche Statistiken.

    Geht das auch mit Usenet News via NNTP?
    Nein. Usenet News werden ausschließlich über Verbindungen zwischen gegenseitig bekannten Nachbarn ausgetauscht. Wollte man Spam auf diese Art und Weise teergruben, so würde es die gutnachbarschaftlichen Beziehungen zerstören, ohne den Injektionspunkt, den Spammer, überhaupt zu treffen.
    Wie heißt eigentlich das englische Verb für diese Technik?
    To teergrube. Ie: My host is teergrubing UBE from or via AGIS.
    Gruß Uwe
    never touch a running system !


  2. #2
    gta74
    Gast

    Standard RE:Teergruben FAQ

    Moin,
    klingt ja ziemlich kauderwelschig (bin halt nicht so fit in der Materie). Wenngleich es ganz nett klingt
    Aber:
    Wo gibt`s fertige Teergruben?
    http://www.de.spam.abuse.net/webland/spam/ und insbesondere Axel Zinsers eigener Patch auf ftp://ftp.hiss.han.de/pub/sendmail/.
    ergibt bei mir jedesmal: Seiten gibt es nicht [HTTP 500]?!?!
    MfG
    gta74

    Kamp dem SPAM!
    (fragz:)


  3. #3
    selzilla
    Gast

    Standard RE:Teergruben FAQ

    Link funktioniert bald wieder.
    Gruß Uwe
    never touch a running system !


  4. #4
    no_dammagE
    Gast

    Standard RE:Teergruben FAQ

    die einzige wirklich gut funktionierende Lösung gegen Spammer wäre die Einführung von einem neuen SMPT-Protokoll, das kein Faking erlaubt. SMTP2 soll dann auch nicht mehr mit SMTP1 kompatibel sein, sonst bringt das nichts.
    Dann brauchen die Admins nur noch 1 Pakett zu installieren und dann ist alles feddich.
    Die 2. Möglichkeit, die man jetzt tun kann ist Hacking. Eine DDoS Attacke auf PrizesAndSavings wäre sehr praktisch. DDoS Attacken sindzwar illegal, aber der Täter ist praktisch unauffindbar. Wenn 65537 Rechner einen Server angreifen, wird er, denk ich, nicht standhalten können. Und da jetzt RIAA so viele tolle Rechte gegen P2P-Rechner haben, wären sie die ersten Kandidaten als Opfer oder auch Täter ;)
    [ ~ FragZ: ~ ]


Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen