Ein tarpit (auch bekannt als Teergrube, das deutsche Wort für tarpit ) ist ein Dienst auf einem Computersystem (gewöhnlich ein Server), der eingehende Verbindungen für so lange wie möglich verzögert. Die Technik wurde als eine Verteidigung gegen einen Computerwurm entwickelt, und die Idee besteht darin, dass Netzmissbräuche wie spamming oder breite Abtastung weniger wirksam sind, wenn sie zu lange nehmen. Der Name ist mit einer Teer-Grube analog, in der sich Tiere verlieren und langsam unter der Oberfläche sinken können.

SMTP tarpits

Beglaubigungsverfahren vergrößern Ansprechzeiten, weil Benutzer ungültige Kennwörter versuchen. SMTP Beglaubigung ist keine Ausnahme. Jedoch verlangen Server-zu-Server-SMTP-Übertragungen, der ist, wo spam eingespritzt wird, keine Beglaubigung. Verschiedene Methoden sind besprochen und für SMTP tarpits, Systeme durchgeführt worden, die in den Postübertragungsagenten (MTA, d. h. die Mailserver-Software) einstecken oder davor als eine Vertretung sitzen.

Eine Methode-Zunahme-Übertragungszeit für alle Post um ein paar Sekunden durch die Verzögerung der anfänglichen Gruß-Nachricht ("grüßen Verzögerung"). Die Idee besteht darin, dass es nicht von Bedeutung sein wird, wenn eine legitime Post ein wenig länger nimmt, um zu liefern, aber wegen der Großserie, wird es einen Unterschied für spammers machen. Die Kehrseite davon ist, dass Adressenlisten und andere legitime Massenpostversande ausführlich whitelisted werden sein müssen oder sie auch leiden werden.

Einige E-Mail-Systeme, wie sendmail 8.13 +, führen eine stärkere Form dessen durch grüßen Verzögerung. Diese Form-Pausen, wenn die Verbindung zuerst hergestellt wird und auf Verkehr horcht. Wenn es einen Verkehr vor seinem eigenen Gruß entdeckt (in der Übertretung von RFC 2821), schließt es die Verbindung. Da viele spammers ihre SMTP Durchführungen der Spezifizierung nicht schreiben, kann das die Anzahl von eingehenden spam Nachrichten vermindern.

Eine andere Methode ist, nur bekannten spammers, z.B durch das Verwenden einer schwarzen Liste zu verzögern (sieh Spamming, DNSBL). OpenBSD hat diese Methode in ihr Kernsystem seit OpenBSD 3.3, mit einem Dämon des speziellen Zwecks (spamd) und Funktionalität in der Brandmauer (pf) integriert, um bekannten spammers zu diesem tarpit umzuadressieren.

FRAU Exchange kann tarpit Absender, die an eine ungültige Adresse senden. Exchange kann das tun, weil der SMTP Stecker mit dem Beglaubigungssystem verbunden wird.

Eine feinere Idee ist greylisting, der, in einfachen Begriffen, den ersten Verbindungsversuch von jeder vorher ungesehenen IP-Adresse zurückweist. Die Annahme ist, dass die meisten spammers nur einen Verbindungsversuch (oder einige Versuche im Laufe einer kurzen Zeitspanne) machen, um jede Nachricht zu senden, wohingegen legitime Postliefersysteme fortsetzen werden, im Laufe einer längeren Periode neu zu verhandeln. Nachdem sie neu verhandeln, wird in ihnen schließlich ohne weitere Hindernisse erlaubt.

Schließlich versucht eine mehr wohl durchdachte Methode, tarpits und durchscheinende Software zusammen, durch die Entstörung der E-Mails im schritthaltenden zu kleben, während es übersandt wird, und Verzögerungen zur Kommunikation als Antwort auf den Filter "spam Wahrscheinlichkeit" Hinweis hinzugefügt. Zum Beispiel würde der spam Filter eine "Annahme" nach jeder Linie oder danach jeder x Bytes erhalten betreffs machen, wie wahrscheinlich diese Nachricht dabei ist, spam zu sein. Je wahrscheinlicher das ist, desto mehr der MTA die Übertragung verzögern wird.

Hintergrund

SMTP besteht aus Bitten, die größtenteils unanständige Wörter wie POST und Antworten sind, die (minimal) dreistellige Zahlen sind. In der letzten Linie der Antwort wird der Zahl von einem Raum gefolgt; in den vorhergehenden Linien wird ihm von einem Bindestrich gefolgt. So beschließend, dass eine Nachricht, die wird versucht zu senden, spam ist, kann ein Mailserver antworten:

451-Ophiomyia prima ist eine Agromyzid-Fliege

451-Ophiomyia secunda ist eine Agromyzid-Fliege

451-Ophiomyia tertia ist eine Agromyzid-Fliege

451-Ophiomyia quarta ist eine Agromyzid-Fliege

451-Ophiomyia quinta ist eine Agromyzid-Fliege

451-Ophiomyia sexta ist eine Agromyzid-Fliege

451-Ophiomyia septima ist eine Agromyzid-Fliege

451 Ihre IP-Adresse wird im DNSBL verzeichnet. Versuchen Sie bitte später noch einmal.

Der tarpit wartet auf fünfzehn oder mehr Sekunden zwischen Linien (langen Verzögerungen wird in SMTP erlaubt, weil Menschen manchmal Post manuell senden, um Mailserver zu prüfen). Das bindet den SMTP das Senden des Prozesses auf dem Kasten des spammer an, um den Betrag von spam zu beschränken, den es senden kann.

IP-Niveau tarpits

Der Linux Kern kann jetzt geflickt werden, um tarpitting von eingehenden Verbindungen statt des üblicheren Fallens von Paketen zu erlauben. Das wird in iptables durch die Hinzufügung eines TARPIT-Ziels durchgeführt. Dieselbe Paket-Inspektion und das Zusammenbringen von Eigenschaften können auf Tarpit-Ziele angewandt werden, wie auf andere Ziele angewandt werden.

Die ursprüngliche tarpit Idee

Tom Liston hat das ursprüngliche tarpitting Programm LaBrea entwickelt. Es kann ein komplettes Netz mit einem auf einer einzelnen Maschine geführten tarpit schützen.

Die Maschine horcht auf ARP-Bitten, die unbeantwortet gehen (das Anzeigen unbenutzter Adressen), dann antwortet jenen Bitten, erhält das SYN anfängliche Paket des Scanners und sendet einen SYN/ACK als Antwort. Es öffnet keine Steckdose oder bereitet eine Verbindung vor, tatsächlich kann es alle über die Verbindung nach dem Senden des SYN/ACK vergessen. Jedoch sendet die entfernte Seite seinen ACK (der ignoriert wird) und glaubt, dass der 3 wegige Händedruck abgeschlossen ist. Dann fängt es an, Daten zu senden, der nie einen Bestimmungsort erreicht. Die Verbindung wird Unterbrechung nach einer Weile, aber da das System glaubt, dass es sich mit einer lebenden (feststehenden) Verbindung befasst, ist es im Timing davon konservativ und wird stattdessen versuchen, wiederzuübersenden, sich zurückzuziehen, usw. für die längere Zeit wiederzuübersenden.

Spätere Versionen von LaBrea haben auch Funktionalität hinzugefügt, um den eingehenden Daten, wieder mit IP rohen Paketen und keinen Steckdosen oder anderen Mitteln des tarpit Servers mit gefälschten Paketen zu antworten, die bitten, dass "sich" die Senden-Seite "verlangsamt". Das wird die Verbindung gegründet halten und noch mehr Zeit des Scanners vergeuden.

Gemischtes SMTP-IP Niveau tarpits

Ein Server kann beschließen, dass eine gegebene Postnachricht spam z.B ist, weil es an eine Spam-Falle, oder nach den Berichten von vertrauten Benutzern gerichtet wurde. Der Server kann entscheiden, dass die IP-Adresse, die dafür verantwortlich ist, die Nachricht vorzulegen, tarpitting verdient. Das Überprüfen gegen verfügbaren DNSBLs kann dem Vermeiden helfen, unschuldige Spediteure in die tarpit Datenbank einzuschließen. Ein Dämon, der Linux libipq ausnutzt, kann dann die entfernte Adresse von eingehenden SMTP Verbindungen gegen diese Datenbank überprüfen. SpamCannibal ist eine GPL um diese Idee entworfene Software; Staket ist ein ähnliches durchgeführtes Projekt mit FreeBSD ipfirewall.

Ein Vorteil von tarpitting am IP Niveau besteht darin, dass regelmäßige TCP durch einen MTA behandelte Verbindungen stateful sind. D. h. obwohl der MTA viel Zentraleinheit nicht verwendet, während es schläft, verwendet es noch den Betrag des Gedächtnisses, das erforderlich ist, den Staat jeder Verbindung zu halten. Auf dem Gegenteil ist LaBrea-artiger tarpitting staatenlos, so den Vorteil reduzierter Kosten gegen den Kasten des spammer gewinnend. Jedoch muss es bemerkt werden, dass von botnets, spammers Gebrauch zu machen, die meisten ihrer Computerquelle-Kosten offen legen kann.

Kommerzielle Durchführungen der punktförmigen Korrosion des Teers

Sowie FRAU Exchange, es hat zwei andere erfolgreiche kommerzielle Durchführungen der Teer-Grube-Idee gegeben. Das erste wurde von TurnTide, einer mit Sitz in Philadelphia Anlauf-Gesellschaft entwickelt, die von Symantec 2004 für $ 28 Millionen im Bargeld erworben wurde. Der Anti Spam Router von TurnTide enthält einen modifizierten Kern von Linux, der ihm erlaubt, verschiedene Streiche mit dem TCP Verkehr, wie das Verändern der Fenster-Größe TCP zu spielen. Durch die Gruppierung verschiedener E-Mail-Absender in verschiedene Verkehrsklassen und das Begrenzen der Bandbreite für jede Klasse wird der Betrag des beleidigenden Verkehrs - besonders reduziert, wenn der beleidigende Verkehr aus einzelnen Quellen kommt, die durch ihr hohes Verkehrsaufkommen leicht identifiziert werden.

Nach dem Erwerb von Symantec hat eine kanadische Anlauf-Gesellschaft genannt MailChannels ihre "" Verkehrskontrollsoftware veröffentlicht, die eine ein bisschen verschiedene Annäherung verwendet, um ähnliche Ergebnisse zu erreichen. Verkehrskontrolle ist eine SMTP Halbechtzeitvertretung. Verschieden vom Gerät von TurnTide, das Verkehr anwendet, der Sich an der Netzschicht Formt, wendet Verkehrskontrolle Verkehr an, der sich auf individuelle Absender an der Anwendungsschicht formt. Diese Annäherung läuft auf ein etwas wirksameres Berühren des spam Verkehrs hinaus, der aus Botnets entsteht, weil es der Software erlaubt, Verkehr von individuellen spam Zombies zu verlangsamen, anstatt zu verlangen, dass Zombie-Verkehr in eine Klasse angesammelt wird.

Siehe auch

• Turing tarpit
• Anti-spam Techniken (E-Mail)
• Postbecken