Tervakaivos (tietotekniikka)
Teergrube (engl. Tarpit , dt. Myös Teerfalle ) on esitetty menetelmä, hidastaa keinotekoisesti ei-toivottujen verkkoyhteydet ja yhteys kumppani on estetty niin kauan kuin mahdollista. Tervahaudat ovat pääosin alalla roskapostin - ja mato -combat käytetty. Terva-kaivokset voidaan periaatteessa toteuttaa mihin tahansa OSI-mallin kerrokseen . Tervakaivot ovat tyypillisiä IP- , TCP- ja sovelluskerroksilla .
Toimintaperiaate
Asiakas muodostaa yhteyden palvelimeen , joka palvelin hyväksyy. Palvelin käsittelee yhteyden massiivisilla viiveillä, mutta vastaustiedot virtaavat vain hyvin hitaasti linjan yli. Asiakkaan on jatkuvasti odotettava palvelimen vastausta, mikä tarkoittaa, että sen on teoriassa säilytettävä yhteys palvelimeen niin kauan kuin vaaditaan. Tämä viive voidaan toteuttaa verkon alemmilla kerroksilla, esimerkiksi IP tai TCP, tai sovellustasolla.
IP-tervakuopat
IP-tervakuopat käyttävät IP-tason mahdollisuuksia, ts. eli ne pienentävät pakettikokoa minimiin ja lähettävät paketteja hyvin hitaasti.
TCP-tervakuopat
TCP-tervakaivot toimivat yhden kerroksen korkeammalla verkkopinossa, mutta toimivat periaatteessa samoilla tekniikoilla kuin IP-tervakuopat. Ne myös minimoivat pakettikoon, unohtavat vastauspaketit, ilmoittavat yhteysvirheistä jne.
Esimerkkejä
LaBrea
Tunnettu toteutus tähän on "LaBrea" (nimeäminen katso täältä ), joka voi suojata koko verkon yhdellä tervapalvelulla.
Tervakaivotietokone kuuntelee vastaamattomia ARP- pyyntöjä (yleensä käyttämätöntä osoitetta) ja vastaa kyselyihin, ts. ts. se teeskentelee olevansa etsimäsi IP-osoite. Jos hän sitten vastaanottaa alustavan SYN-paketin hyökkääjältä (usein porttiskannerilta ), hän lähettää vain SYN / ACK-vastauksen, ei mitään. Tälle yhteydelle ei ole avattu liitäntää eikä todellista yhteyttä ole muodostettu. Terva-aukko ei tallenna yhtään dataa SYN / ACK-lähetyksen jälkeen. Terva-aukko ei siis tarvitse omia resursseja, kuten laskenta-aikaa, pistorasioita, muistia tai verkon kaistanleveyttä.
Etäpuolella oleva tietokone ("hyökkääjä") lähettää sitten ACK-pakettinsa yhteyden muodostamiseksi tarvittavan kolmisuuntaisen kättelyn suorittamiseksi . Terva-aukko jättää huomiotta jopa tämän paketin. Koska "hyökkääjä" näkee nyt vakiintuneen yhteyden, hän alkaa lähettää tietojaan, mutta ei kuitenkaan tavoita ketään.
Koska vahvistus annetaan jokaiselle TCP: n paketille, yhteys keskeytyy yleensä tietyn ajan kuluttua aikakatkaisun vuoksi . Siihen saakka lähettäjä on kuitenkin tilassa, joka on suunniteltu ylläpitämään yhteyttä potentiaaliseen todelliseen viestintäkumppaniin aina kun mahdollista. Tämä viestintä maksaa aikaa ja laskentatehoa riippuen verkkopinon tyypistä (toistojen lukumäärä, varmuuskopiointi, uudelleenlähetys jne.) Usein jopa paljon.
LaBrean uudempia versioita on laajennettu sisällyttämään kyky reagoida myöhemmin tällaisiin saapuviin paketteihin järjettömillä vastauksilla. Tähän käytetään raakadataa ( RAW IP-paketteja ), joten tervakahvapalvelimen pistorasioita tai muita resursseja ei käytetä. Nämä paketit saavat lähettävän palvelimen ylläpitämään yhteyttä ja siten puolestaan tuhlaamaan vieläkin enemmän aikaa ja laskentatehoa turhaan.
LaBrean lisäksi on olemassa lukuisia muita TCP-tervakaivoja, kuten TCP-vaimennus.
netfilter
Linux - paketti suodatin netfilter voi TCP-yhteydet ilman ylimääräisiä käyttäjän tilaa suorittaa ohjelmiston terva kuoppaan.
Kohde tarpithyväksyy uudet TCP-yhteydet ja asettaa ne suoraan jatkuvaan tilaan. Tuloksena oleva ikkunan koko 0 tarkoittaa, että "hyökkääjä" ei saa lähettää tietoja. Tämä pakottaa hänet kyselemään ikkunan kokoa uudelleen 60–240 sekunnin välein.
Lisäksi "hyökkääjän" yritykset sulkea yhteys jätetään huomiotta, mikä pakottaa yhteyden päättymään. Tämä kestää 12–24 minuuttia. Tänä aikana käytettävät resurssit pysyvät "hyökkääjän" käytössä.
Sovellustason tervakaivot
Sovelluskerroksen tervahaudat käyttävät sovelluksen protokollaominaisuuksia yhteyden keinotekoiseen hidastamiseen. Tämä puolestaan vaihtelee kadonneiden tiedustelujen ja virhetilan simuloinnista erityisen yksityiskohtaisiin mutta merkityksettömiin vastauksiin.
SMTP- ja HTTP-tervakaivoja käytetään pääasiassa roskapostia vastaan.
SMTP-tervakuopat
Toimintaperiaate sähköpostin tervahaudasta perustuu siihen, että SMTP istunnot keinotekoisesti hidastaa tai viivästyvät, esimerkiksi rakentamalla pieniä viiveitä SMTP kädenpuristus, joka on tarkoitus estää sähköpostipalvelimia lähettämällä massa roskapostia .
Lisäksi niin kutsutut SMTP-jatkorivit lisätään palvelimen vastauksiin. Näiden jatkolinjojen avulla palvelin voi palauttaa monirivisen vastauksen, jota asiakkaan on odotettava - samanlainen kuin keskustelu, jossa kysyt toiselle henkilölle tietyn kysymyksen, mutta hän pääsee asiaan vasta tunnin puhumisen jälkeen.
Joissa normaalit postiliikenteen, tämä viive ei johda mitään suuria rajoituksia, riippuen toteutuksesta ja aggressiivisuus tervahaudasta. Jos palvelimelta lähetetään kuitenkin samanaikaisesti suuri määrä viestejä, kuten yleensä sähköpostin roskapostin kohdalla, lähettävä sähköpostipalvelin estetään. Samanaikaisesti käsiteltävien TCP- istuntojen määrä on rajoitettu. Jos kaikki käytettävissä olevat istunnot ovat jumissa tervakaivossa , hän voi lähettää uusia sähköposteja vain, jos yksi avoimista istunnoista on suljettu tai peruutettu.
Toinen toimintatapa on, että roskapostin lähettämiseen optimoidut virukset ja palvelimet keskeyttävät lähettämisen usein, vaikka viiveitä olisi lyhyitä, aloittamatta uutta yritystä myöhemmin. Tämä tarkoittaa, että tällaisia lähettimiä voidaan hidastaa käyttämällä tervakuoppia tai toimimattomia palvelimia. Terva-aukko ei estä lähetyspalvelinta, mutta suojaa vastaanottajaa roskapostilta ja haittaohjelmilta .
Tämä tekee kuitenkin tervan kaivosta melko tehottoman: Roskapostittajat lopettavat yhteyden välittömästi, normaalit lähettäjät siepataan. Se ei vain ole toivottu vaikutus. OpenBSD spamd toteutetaan Whitelisting ja harmaalla tunnistaa roskapostittajien ja suojata kunnollinen lähettäjän.
Aikaisemmin liikenteen säästäminen mainittiin usein argumenttina, mutta tällä on yhä vähemmän merkitystä, koska volyymikustannukset laskevat jatkuvasti ja normaalien sähköpostien koko ja kaistanleveys kasvavat jatkuvasti.
Suuret palveluntarjoajat ja uutiskirjeiden lähettäjät ovat myös estetty tällaisella klassisella tervakuopalla, minkä vuoksi tätä menetelmää ei pidetä tervetulleena siellä. Tämä ongelma on lieventää ainoastaan suorittamalla SMTP istunnot epäilyttävien isännät (ks RBL ) ja tarpitting ja mahdollisesti myös ylläpitää whitelist suurten tarjoajille.
HTTP-tervakuopat
HTTP- tarpit yrittävät heittää roskapostittajat radalta yhden tason aikaisemmin estämällä roskapostittajien harvesterit . Harvesterit ovat ohjelmia, jotka etsivät verkkosivuja kuten hakukoneiden hämähäkkejä (esim. Googlebot ) - mutta eivät hakutermeillä, mutta mahdollisten roskapostin uhrien sähköpostiosoitteilla .
Tämäntyyppiset tervakaivot toimittavat verkkosivustoja paljon hitaammin ja pakkaavat lukuisia linkkejä itselleen luotuihin verkkosivustoihin, joten harvesterin putoaminen ansaan uudestaan ja uudestaan.
Katso myös
kirjallisuus
- Tobias Eggendorfer: Sadonkorjuu ei, kiitos. Ansaen asettaminen sähköpostiosoitteiden metsästäjille verkkosivustoilla : Linux-Magazin 06/2004, s.108 ja sitä seuraavat, Linux New Media, Münchenin HTML-versio
- Tobias Eggendorfer: Tervaerojen käytön oikeudellinen hyväksyttävyys puimureiden estämiseksi , DGRI Autumn Academy 2005, Freiburg, 2005
- Tobias Eggendorfer: Roskapostin hakkuukoneiden lopettaminen HTTP-tervakuopalla , Proceedings of AUUG 2005, Sydney, 2005
- Tobias Eggendorfer: Ei roskapostia. Parempi ennaltaehkäisy kuin parannuskeino , Ohjelmistot ja tuki Verlag, Frankfurt am Main, 2005, ISBN 3-935042-71-X - esittelee HTTP- tervakaivon PHP: ssä
- Tobias Eggendorfer: SMTP- ja HTTP-tervakuoppien vertailu niiden tehokkuudessa roskapostin vastaisena toimenpiteenä , Proceedings of MIT SpamConference 2006
- Li Kang : Roskapostin toimittamisen vastustaminen, TCP-Damping , Georgian yliopisto, Ateena, GA, o.A.
nettilinkit
- http://www.iks-jena.de/mitarb/lutz/usenet/teergrube.html Tervakivien UKK