Search the FAQ Archives

3 - A - B - C - D - E - F - G - H - I - J - K - L - M
N - O - P - Q - R - S - T - U - V - W - X - Y - Z
faqs.org - Internet FAQ Archives

<2000/03/03> Teergruben FAQ [German]


[ Usenet FAQs | Web FAQs | Documents | RFC Index | Forum archive ]
Archive-name: net-abuse-faq/teergrube-german-faq
Last-modified: 2000/03/03
Posting-Frequency: monthly
URL: http://www.iks-jena.de/mitarb/lutz/usenet/teergrube.html
Version: 0.10

See reader questions & answers on this topic! - Help others by sharing your knowledge
                           Zurück English version
   
                                Teergruben FAQ
                                       
   Was braucht der UBE Sender? Was verkauft er?
          Eine bestimmte Anzahl versendeter E-Mails pro Zeiteinheit. Das
          ganze Produkt nennt er dann Unsolicited Bulk E-Mail
          (Unverlangte Massen E-Mail).
          
   Wie kann man einem UBE Sender schaden?
          Indem man ihm seine Arbeitsmittel zerstört.
          
   Bitte?
          E-Mail Versand erfolgt über SMTP. Dabei wird eine TCP/IP
          Verbindung zum MX Host des betreffenden Empfängers hergestellt.
          Üblicherweise kann ein Rechner max. 65500 TCP/IP Verbindung
          gleichzeitig offenhalten, in der Regel sind es weniger
          (Ressourcenlimit, z.B. MAX_SOCKET, MAX_FILE_DESCRIPTOR).
          
          Wenn es gelingt, einen Port bei der Mailauslieferung offen zu
          halten, bspw. über mehrere Stunden, so reduziert sich die
          Leistungsfähigkeit des UBE Senders. SMTP bietet dazu die
          Fortsetzungszeilen, mit denen die SMTP Session offengehalten
          werden kann, ohne daß ein Timeout zuschlägt.
          
          Was eine Teergrube nun macht, ist einen genauso präparierten
          MTA dazu zu bewegen, daß er eben (in Abhängigkeit vom
          SMTP-Absender) den Prozeß auflaufen läßt.
          
   Wie sehen Fortsetzungszeilen des SMTP aus?
          Ein SMTP Host sendet als Antwort auf die Kommandos des Clients
          Zeilen, die aus einem Fehlercode, einem Leerzeichen und einem
          menschenlesbaren Text bestehen. Wird das Leerzeichen durch ein
          Minuszeichen ersetzt, so bedeutet das, daß der Host noch nicht
          mit der Antwort fertig ist. Das ganze kann dann so aussehen:
          
help
214-This is Sendmail version 8.8.5
214-Topics:
214-    HELO    EHLO    MAIL    RCPT    DATA
214-    RSET    NOOP    QUIT    HELP    VRFY
214-    EXPN    VERB    ETRN    DSN
214-For more info use "HELP <topic>".
214-To report bugs in the implementation send email to
214-    sendmail-bugs@sendmail.org.
214-For local information send email to Postmaster at your site.
214 End of HELP info

          Sendet man nun derartige Fortsetzungszeilen im Abstand von
          Minuten, so verbraucht das fast keine Bandbreite und stoppt des
          UBE Versenderhost wirksam.
          
   Wer hatte denn zuerst diese Idee?
          In <54csin$m6g@white.koehntopp.de> schreibt Kristian Köhntopp
          die Idee Axel Zinser zu. Er erwähnt dort auch den nützlichen
          Nebeneffekt, daß viele MTAs den kompletten SMTP Dialog
          mitloggen, also bei Teergruben Gigabyte an Log zu verwalten
          haben.
          
   Was ist, wenn der UBE Sender nun andere Hosts zum relay benutzt?
          Dann zieht es diesen mißbrauchten Relayhost zu. Der
          entsprechende Admin bemerkt die Funktionsunfähigkeit seines
          Systems und macht es so dicht, wie notwendig. Er hatte es ja
          sowieso falsch konfiguriert...
          
   Wenn nun UBE-Sender das erkennen und keine UBE mehr an diese
          Teergruben versenden, damit ihre Maschine freibleibt zum
          weiterspammen?
          Think about it. Das war das Ziel: Mailauslieferung ist möglich,
          UBE nicht.
          
   Wie erkennt eine Teergrube, daß am anderen Ende ein Spammer sitzt?
          Es müssen IP Bereiche definiert werden, aus denen der Spam
          kommt. Beispielsweise ist der AGIS (All you Get Is Spam = Apex
          Global Information Systems/Service) die IP-Bereiche
          204.137.128/18, 204.137.192/19, 205.137.48/18, 205.164.64/17,
          205.254.160/22, 205.254.176/21, 207.142/16, 209.14/16
          zugewiesen worden.
          
          Beim Verbindungsaufbau erhält er sofort die IP Nummer der
          Gegenstelle.
          
   Wie bekommt man die IP Bereiche heraus?
          Im Falle von AGIS: 'whois NETBLK-AGIS...' Analog für die
          anderen Spammer.
          
   Wie verhindert man, daß sie auch normale Mailer, die einen erreichen
          wollen, schädigt?
          Wird ein normaler Mailer zufällig mit von der Teergrube
          erwischt, so ist das in der Regel nicht weiter dramatisch, da
          es auf beiden Systemen nur einen Port zuzieht. Die
          Mailauslieferung erfolgt in jedem Fall, nur dauert es länger
          als üblich.
          
   Muß die Teergrube auch viele Sockets offenhalten?
          Sie benötigt ein bis zehn Ports. Der Spammer dagegen für jede
          Teergrube ein bis zehn. Der Vorteil der Verteidiger liegt ihn
          ihrer Dezentralität. Beim Spammer läuft es zentral auf. Je mehr
          Teergruben, desto besser.
          
   Was ist, wenn der UBE Sender seinerseits über hunderte von Maschinen
          verfügt? Jede mit 65000 Ports. Oder über bulk-mail-Software mit
          spezial TCP-Stacks die diese Obergrenze nicht kennen (Virtuelle
          Interfaces pp.)?
          Dann muß der Spammer auch für diesen Aufwand zahlen. Die Frage
          ist dann nur noch wer zuerst aufgibt: Der Spammer mit
          Technikeinkauf oder die vielen Admins mit
          Softwareinstallationen.
          
          Ob das bisschen Knete, dass er mit UBE machen kann diese
          Hardware, deren Anschluss und Unterhaltung wiedereinbringt?
          
          Die Nutzung von Wegwerf-Einwähl-Accounts für Spammer ist auch
          ausgeschlossen. Man kann den ISP anrufen und ihm sagen: "Ihr
          Kunde auf Leitung ... spammt gerade. Bitte klemmen Sie ihn ab
          und verklagen Sie ihn. Danke."
          
   Was ist, wenn der UBE Sender seinerseits auf meiner Machine alle
          verfügbaren ports aufmacht (und damit meine mail Versorgung
          zu?)?
          Alles, was er tun kann, ist Dir den Mailport 25 zu belegen, bis
          Deine sonstigen Ressourcen aufgebraucht sind. Mit einem
          non-forking Mailer dauert das sehr lange. Es ist sehr
          unwahrscheinlich, daß ein Spammer Zeit und Ressource für diese
          Art der "Rache" aufbringt.
          
          Darüberhinaus kann man ihn auf diese Aktion verklagen.
          
   Ist es nicht paradox, eine Netzanbindung künstlich langsamer machen zu
          müssen, damit sie nutzbar bleibt?
          Ja. Aber es hilft.
          
   Das klingt kompliziert, warum kann man die UBE-Spammer nicht einfach
          abweisen?
          Einige hundert Teergruben machen das Versenden von UBE weltweit
          schwierig bis unmöglich, ohne den normalen E-Mail Transport zu
          gefährden. Es kann ja sein, daß bei einem spammerfreundlichen
          Provider (z.B. AGIS) auch normale Menschen angeschlossen sind,
          zu denen Kontakte bestehen sollen! Blockt man komplett,
          verhindert man Kommunikation komplett. Das ist unerwünscht.
          
          Abgesehen davon kann ein Blocking zwar den Anweder des
          Blockings schützen, jedoch hilft es den anderen Netzbewohnern
          nicht im geringsten. Es ist ein Selbstschutz jedoch kein echter
          UBE-Schutz.
          
   Was muß man sein, um Teergruben laufen zu lassen? Postmaster?
          Admin auf der Maschine, die den MX Host fährt. Ist man das
          nicht, so sollte man den betreffenden Admin kontaktieren.
          
   Wo gibt's fertige Teergruben?
          http://www.de.spam.abuse.net/webland/spam/ und insbesondere
          Axel Zinsers eigener Patch auf
          ftp://ftp.hiss.han.de/pub/sendmail/. Für Systeme, die definitiv
          keine Post empfangen können, eignet sich ein Perl-Script der
          Boston Business Computing.
          
          Bei mir gibt es einen allgemeinen Wrapper für beliebige MTAs.
          Großes Umkonfigurieren entfällt.
          
   Wieviele Teergruben gibt es schon und werden diese irgendwo gelistet?
          Unbekannt. Wer mag kann sich melden.
          
   Gibt es Erfahungen mit Teergruben?
          Axel hat einen Spammer für mehr als zwei Tage online gehalten.
          Ich habe ähnliche Resultate.
          
          In thur.net.admin veröffentlicht eine real existierende
          Teergrube tägliche Statistiken.
          
   Geht das auch mit Usenet News via NNTP?
          Nein. Usenet News werden ausschließlich über Verbindungen
          zwischen gegenseitig bekannten Nachbarn ausgetauscht. Wollte
          man Spam auf diese Art und Weise teergruben, so würde es die
          gutnachbarschaftlichen Beziehungen zerstören, ohne den
          Injektionspunkt, den Spammer, überhaupt zu treffen.
          
   Wie heißt eigentlich das englische Verb für diese Technik?
          To teergrube. Ie: My host is teergrubing UBE from or via AGIS.

User Contributions:

Comment about this article, ask questions, or add new information about this topic:


[ Usenet FAQs | Web FAQs | Documents | RFC Index ]

Send corrections/additions to the FAQ Maintainer:
Lutz.Donnerhacke@Jena.Thur.De (Lutz Donnerhacke)





Last Update March 27 2014 @ 02:11 PM