|
Archive-name: net-abuse-faq/teergrube-german-faq
Last-modified: 2000/03/03 Posting-Frequency: monthly URL: http://www.iks-jena.de/mitarb/lutz/usenet/teergrube.html Version: 0.10 See reader questions & answers on this topic! - Help others by sharing your knowledge Zur�ck English version
Teergruben FAQ
Was braucht der UBE Sender? Was verkauft er?
Eine bestimmte Anzahl versendeter E-Mails pro Zeiteinheit. Das
ganze Produkt nennt er dann Unsolicited Bulk E-Mail
(Unverlangte Massen E-Mail).
Wie kann man einem UBE Sender schaden?
Indem man ihm seine Arbeitsmittel zerst�rt.
Bitte?
E-Mail Versand erfolgt �ber SMTP. Dabei wird eine TCP/IP
Verbindung zum MX Host des betreffenden Empf�ngers hergestellt.
�blicherweise kann ein Rechner max. 65500 TCP/IP Verbindung
gleichzeitig offenhalten, in der Regel sind es weniger
(Ressourcenlimit, z.B. MAX_SOCKET, MAX_FILE_DESCRIPTOR).
Wenn es gelingt, einen Port bei der Mailauslieferung offen zu
halten, bspw. �ber mehrere Stunden, so reduziert sich die
Leistungsf�higkeit des UBE Senders. SMTP bietet dazu die
Fortsetzungszeilen, mit denen die SMTP Session offengehalten
werden kann, ohne da� ein Timeout zuschl�gt.
Was eine Teergrube nun macht, ist einen genauso pr�parierten
MTA dazu zu bewegen, da� er eben (in Abh�ngigkeit vom
SMTP-Absender) den Proze� auflaufen l��t.
Wie sehen Fortsetzungszeilen des SMTP aus?
Ein SMTP Host sendet als Antwort auf die Kommandos des Clients
Zeilen, die aus einem Fehlercode, einem Leerzeichen und einem
menschenlesbaren Text bestehen. Wird das Leerzeichen durch ein
Minuszeichen ersetzt, so bedeutet das, da� der Host noch nicht
mit der Antwort fertig ist. Das ganze kann dann so aussehen:
help
214-This is Sendmail version 8.8.5
214-Topics:
214- HELO EHLO MAIL RCPT DATA
214- RSET NOOP QUIT HELP VRFY
214- EXPN VERB ETRN DSN
214-For more info use "HELP <topic>".
214-To report bugs in the implementation send email to
214- sendmail-bugs@sendmail.org.
214-For local information send email to Postmaster at your site.
214 End of HELP info
Sendet man nun derartige Fortsetzungszeilen im Abstand von
Minuten, so verbraucht das fast keine Bandbreite und stoppt des
UBE Versenderhost wirksam.
Wer hatte denn zuerst diese Idee?
In <54csin$m6g@white.koehntopp.de> schreibt Kristian K�hntopp
die Idee Axel Zinser zu. Er erw�hnt dort auch den n�tzlichen
Nebeneffekt, da� viele MTAs den kompletten SMTP Dialog
mitloggen, also bei Teergruben Gigabyte an Log zu verwalten
haben.
Was ist, wenn der UBE Sender nun andere Hosts zum relay benutzt?
Dann zieht es diesen mi�brauchten Relayhost zu. Der
entsprechende Admin bemerkt die Funktionsunf�higkeit seines
Systems und macht es so dicht, wie notwendig. Er hatte es ja
sowieso falsch konfiguriert...
Wenn nun UBE-Sender das erkennen und keine UBE mehr an diese
Teergruben versenden, damit ihre Maschine freibleibt zum
weiterspammen?
Think about it. Das war das Ziel: Mailauslieferung ist m�glich,
UBE nicht.
Wie erkennt eine Teergrube, da� am anderen Ende ein Spammer sitzt?
Es m�ssen IP Bereiche definiert werden, aus denen der Spam
kommt. Beispielsweise ist der AGIS (All you Get Is Spam = Apex
Global Information Systems/Service) die IP-Bereiche
204.137.128/18, 204.137.192/19, 205.137.48/18, 205.164.64/17,
205.254.160/22, 205.254.176/21, 207.142/16, 209.14/16
zugewiesen worden.
Beim Verbindungsaufbau erh�lt er sofort die IP Nummer der
Gegenstelle.
Wie bekommt man die IP Bereiche heraus?
Im Falle von AGIS: 'whois NETBLK-AGIS...' Analog f�r die
anderen Spammer.
Wie verhindert man, da� sie auch normale Mailer, die einen erreichen
wollen, sch�digt?
Wird ein normaler Mailer zuf�llig mit von der Teergrube
erwischt, so ist das in der Regel nicht weiter dramatisch, da
es auf beiden Systemen nur einen Port zuzieht. Die
Mailauslieferung erfolgt in jedem Fall, nur dauert es l�nger
als �blich.
Mu� die Teergrube auch viele Sockets offenhalten?
Sie ben�tigt ein bis zehn Ports. Der Spammer dagegen f�r jede
Teergrube ein bis zehn. Der Vorteil der Verteidiger liegt ihn
ihrer Dezentralit�t. Beim Spammer l�uft es zentral auf. Je mehr
Teergruben, desto besser.
Was ist, wenn der UBE Sender seinerseits �ber hunderte von Maschinen
verf�gt? Jede mit 65000 Ports. Oder �ber bulk-mail-Software mit
spezial TCP-Stacks die diese Obergrenze nicht kennen (Virtuelle
Interfaces pp.)?
Dann mu� der Spammer auch f�r diesen Aufwand zahlen. Die Frage
ist dann nur noch wer zuerst aufgibt: Der Spammer mit
Technikeinkauf oder die vielen Admins mit
Softwareinstallationen.
Ob das bisschen Knete, dass er mit UBE machen kann diese
Hardware, deren Anschluss und Unterhaltung wiedereinbringt?
Die Nutzung von Wegwerf-Einw�hl-Accounts f�r Spammer ist auch
ausgeschlossen. Man kann den ISP anrufen und ihm sagen: "Ihr
Kunde auf Leitung ... spammt gerade. Bitte klemmen Sie ihn ab
und verklagen Sie ihn. Danke."
Was ist, wenn der UBE Sender seinerseits auf meiner Machine alle
verf�gbaren ports aufmacht (und damit meine mail Versorgung
zu?)?
Alles, was er tun kann, ist Dir den Mailport 25 zu belegen, bis
Deine sonstigen Ressourcen aufgebraucht sind. Mit einem
non-forking Mailer dauert das sehr lange. Es ist sehr
unwahrscheinlich, da� ein Spammer Zeit und Ressource f�r diese
Art der "Rache" aufbringt.
Dar�berhinaus kann man ihn auf diese Aktion verklagen.
Ist es nicht paradox, eine Netzanbindung k�nstlich langsamer machen zu
m�ssen, damit sie nutzbar bleibt?
Ja. Aber es hilft.
Das klingt kompliziert, warum kann man die UBE-Spammer nicht einfach
abweisen?
Einige hundert Teergruben machen das Versenden von UBE weltweit
schwierig bis unm�glich, ohne den normalen E-Mail Transport zu
gef�hrden. Es kann ja sein, da� bei einem spammerfreundlichen
Provider (z.B. AGIS) auch normale Menschen angeschlossen sind,
zu denen Kontakte bestehen sollen! Blockt man komplett,
verhindert man Kommunikation komplett. Das ist unerw�nscht.
Abgesehen davon kann ein Blocking zwar den Anweder des
Blockings sch�tzen, jedoch hilft es den anderen Netzbewohnern
nicht im geringsten. Es ist ein Selbstschutz jedoch kein echter
UBE-Schutz.
Was mu� man sein, um Teergruben laufen zu lassen? Postmaster?
Admin auf der Maschine, die den MX Host f�hrt. Ist man das
nicht, so sollte man den betreffenden Admin kontaktieren.
Wo gibt's fertige Teergruben?
http://www.de.spam.abuse.net/webland/spam/ und insbesondere
Axel Zinsers eigener Patch auf
ftp://ftp.hiss.han.de/pub/sendmail/. F�r Systeme, die definitiv
keine Post empfangen k�nnen, eignet sich ein Perl-Script der
Boston Business Computing.
Bei mir gibt es einen allgemeinen Wrapper f�r beliebige MTAs.
Gro�es Umkonfigurieren entf�llt.
Wieviele Teergruben gibt es schon und werden diese irgendwo gelistet?
Unbekannt. Wer mag kann sich melden.
Gibt es Erfahungen mit Teergruben?
Axel hat einen Spammer f�r mehr als zwei Tage online gehalten.
Ich habe �hnliche Resultate.
In thur.net.admin ver�ffentlicht eine real existierende
Teergrube t�gliche Statistiken.
Geht das auch mit Usenet News via NNTP?
Nein. Usenet News werden ausschlie�lich �ber Verbindungen
zwischen gegenseitig bekannten Nachbarn ausgetauscht. Wollte
man Spam auf diese Art und Weise teergruben, so w�rde es die
gutnachbarschaftlichen Beziehungen zerst�ren, ohne den
Injektionspunkt, den Spammer, �berhaupt zu treffen.
Wie hei�t eigentlich das englische Verb f�r diese Technik?
To teergrube. Ie: My host is teergrubing UBE from or via AGIS.
User Contributions:
[ Usenet FAQs | Web FAQs | Documents | RFC Index ]
Send corrections/additions to the FAQ Maintainer: Lutz.Donnerhacke@Jena.Thur.De (Lutz Donnerhacke)
Last Update March 27 2014 @ 02:11 PM
|
<2000/03/03> Teergruben FAQ [German]
Search the FAQ Archives
N - O - P - Q - R - S - T - U - V - W - X - Y - Z
<2000/03/03> Teergruben FAQ [German]
[ Usenet FAQs | Web FAQs | Documents | RFC Index | Forum archive ]
Comment about this article, ask questions, or add new information about this topic: