Tarpit (redes)

Un tarpit es un servicio en un sistema informático (normalmente un servidor) que retrasa deliberadamente las conexiones entrantes. La técnica se desarrolló como una defensa contra un gusano informático, y la idea es que los abusos en la red, como el envío de spam o el escaneo amplio, sean menos efectivos y, por lo tanto, menos atractivos si tardan demasiado. El concepto es análogo a un pozo de alquitrán, en el que los animales pueden atascarse y hundirse lentamente bajo la superficie, como en un pantano.

La idea original de la lona

Tom Liston desarrolló el programa original de tarpitting LaBrea. Puede proteger una red completa con una ejecución tarpit en una sola máquina.

La máquina escucha las solicitudes del Protocolo de resolución de direcciones que quedan sin respuesta (lo que indica las direcciones no utilizadas), luego responde a esas solicitudes, recibe el paquete SYN inicial del escáner y envía un SYN/ACK en respuesta. No abre un socket ni prepara una conexión, de hecho puede olvidarse de la conexión después de enviar el SYN/ACK. Sin embargo, el sitio remoto envía su ACK (que se ignora) y cree que el protocolo de enlace de 3 vías está completo. Luego comienza a enviar datos, que nunca llegan a un destino. La conexión se agotará después de un tiempo, pero dado que el sistema cree que se trata de una conexión en vivo (establecida), es conservador en el tiempo de espera y en su lugar intentará retransmitir, retroceder, retransmitir, etc. durante bastante tiempo. mientras.

Versiones posteriores de LaBrea también agregaron funciones para responder a los datos entrantes, nuevamente utilizando paquetes de IP sin procesar y sin sockets u otros recursos del servidor tarpit, con paquetes falsos que solicitan que el sitio de envío "reduzca la velocidad". Esto mantendrá la conexión establecida y desperdiciará aún más tiempo del escáner.

Lonas SMTP

Una de las posibles vías que se consideraron para luchar contra el spam masivo en un momento fue exigir una pequeña tarifa por cada correo enviado. Al introducir dicho costo artificial, con un impacto insignificante en el uso legítimo siempre que la tarifa sea lo suficientemente pequeña, el spam automatizado a gran escala se volvería instantáneamente poco atractivo. Tarpitting podría verse como un enfoque similar (pero técnicamente mucho menos complejo), donde el costo para el spammer se mediría en términos de tiempo y eficiencia en lugar de dinero.

Los procedimientos de autenticación aumentan los tiempos de respuesta cuando los usuarios intentan contraseñas no válidas. La autenticación SMTP no es una excepción. Sin embargo, las transferencias SMTP de servidor a servidor, que es donde se inyecta el spam, no requieren autenticación. Se han discutido e implementado varios métodos para tarpits SMTP, sistemas que se conectan al Agente de transferencia de correo (MTA, es decir, el software del servidor de correo) o se sientan frente a él como un proxy.

Un método aumenta el tiempo de transferencia de todos los correos unos segundos al retrasar el mensaje de saludo inicial ("retraso de saludo"). La idea es que no importará si un correo legítimo tarda un poco más en entregarse, pero debido al alto volumen, marcará la diferencia para los spammers. La desventaja de esto es que las listas de correo y otros correos masivos legítimos tendrán que incluirse explícitamente en la lista blanca o también sufrirán.

Algunos sistemas de correo electrónico, como sendmail 8.13+, implementan una forma más fuerte de demora de saludo. Este formulario se detiene cuando la conexión se establece por primera vez y escucha el tráfico. Si detecta cualquier tráfico antes de su propio saludo (en violación de RFC 2821), cierra la conexión. Dado que muchos spammers no escriben sus implementaciones SMTP según la especificación, esto puede reducir la cantidad de mensajes de spam entrantes.

Otro método es retrasar solo a los spammers conocidos, p. mediante el uso de una lista negra (ver Spamming, DNSBL). OpenBSD ha integrado este método en su sistema central desde OpenBSD 3.3, con un demonio de propósito especial (spamd) y funcionalidad en el firewall (pf) para redirigir a los spammers conocidos a este tarpit.

MS Exchange puede criticar a los remitentes que envían a una dirección no válida. Exchange puede hacer esto porque el conector SMTP está conectado al sistema de autenticación.

Una idea más sutil es la lista gris, que, en términos simples, rechaza el primer intento de conexión desde cualquier dirección IP que no se haya visto anteriormente. La suposición es que la mayoría de los remitentes de correo no deseado realizan solo un intento de conexión (o algunos intentos durante un período breve) para enviar cada mensaje, mientras que los sistemas legítimos de entrega de correo seguirán intentándolo durante un período más prolongado. Después de volver a intentarlo, eventualmente se les permitirá ingresar sin más impedimentos.

Finalmente, un método más elaborado trata de unir los tarpits y el software de filtrado, filtrando el correo electrónico en tiempo real, mientras se transmite, y agregando retrasos a la comunicación en respuesta a los &#34 del filtro.;probabilidad de spam" indicador. Por ejemplo, el filtro de spam haría una "suposición" después de cada línea o después de cada x bytes recibidos en cuanto a la probabilidad de que este mensaje sea spam. Cuanto más probable sea esto, más retrasará el MTA la transmisión.

Antecedentes

SMTP consta de solicitudes, que en su mayoría son palabras de cuatro letras, como MAIL, y respuestas, que son (como mínimo) números de tres dígitos. En la última línea de la respuesta, el número va seguido de un espacio; en las líneas anteriores va seguido de un guión. Así, al determinar que un mensaje que se intenta enviar es spam, un servidor de correo puede responder:

451-Ophiomyia prima es una mosca agrícola
451-Ophiomyia secunda es una mosca agrícola
451-Ophiomyia tertia es una mosca agrícola
451-Ophiomyia quarta es una mosca agrícola
451-Ophiomy Quintaia es una mosca agromizida
451-Ophiomyia sexta es una mosca agrícola
451-Ophiomyia septima es una mosca agrícola
451 Su dirección IP está lista en el DNSBL. Por favor, intente de nuevo más tarde.

El tarpit espera quince o más segundos entre líneas (se permiten largos retrasos en SMTP, ya que los humanos a veces envían correo manualmente a los servidores de correo de prueba). Esto vincula el proceso de envío SMTP en la computadora del spammer para limitar la cantidad de spam que puede enviar.

Tarpits de nivel IP

El kernel de Linux ahora se puede parchear para permitir el tarpiting de las conexiones entrantes en lugar de la eliminación habitual de paquetes. Esto se implementa en iptables mediante la adición de un objetivo TARPIT. Las mismas funciones de inspección y coincidencia de paquetes se pueden aplicar a objetivos tarpit como se aplican a otros objetivos.

Tarpits mixtos de nivel SMTP-IP

Un servidor puede determinar que un mensaje de correo determinado es spam, p. porque se dirigía a una trampa de spam o después de que los usuarios de confianza ' informes. El servidor puede decidir que la dirección IP responsable de enviar el mensaje merece tarpiting. La verificación cruzada con los DNSBL disponibles puede ayudar a evitar la inclusión de reenviadores inocentes en la base de datos de tarpit. Un daemon que explota Linux libipq puede luego verificar la dirección remota de las conexiones SMTP entrantes contra esa base de datos. SpamCannibal es un software GPL diseñado en torno a esta idea; Stockade es un proyecto similar implementado usando FreeBSD ipfirewall.

Una ventaja de tarpitting a nivel de IP es que las conexiones TCP regulares manejadas por un MTA son con estado. Es decir, aunque el MTA no usa mucha CPU mientras duerme, todavía usa la cantidad de memoria necesaria para mantener el estado de cada conexión. Por el contrario, el tarpitting al estilo de LaBrea es sin estado, por lo que obtiene la ventaja de un costo reducido frente a la caja del spammer. Sin embargo, debe tenerse en cuenta que al hacer uso de botnets, los spammers pueden externalizar la mayor parte de sus costos de recursos informáticos.

Crítica

Se sabe que una conexión tarpited puede generar una cantidad significativa de tráfico hacia el receptor, porque el remitente considera que la conexión está establecida e intenta enviar (y luego retransmitir) datos reales. En la práctica, dado el tamaño promedio actual de las botnets de las computadoras, una solución más razonable será descartar el tráfico sospechoso por completo, sin tarpiting. De esta manera, solo se retransmitirán los segmentos TCP SYN, no todas las solicitudes HTTP o HTTPS.

Implementaciones comerciales de tar-pitting

Además de MS Exchange, ha habido otras dos implementaciones comerciales exitosas de la idea del pozo de alquitrán. El primero fue desarrollado por TurnTide, una empresa nueva con sede en Filadelfia, que fue adquirida por Symantec en 2004 por 28 millones de dólares en efectivo. El enrutador antispam TurnTide contiene un kernel de Linux modificado que le permite jugar varios trucos con el tráfico TCP, como variar el tamaño de la ventana TCP. Al agrupar varios remitentes de correo electrónico en diferentes clases de tráfico y limitar el ancho de banda para cada clase, se reduce la cantidad de tráfico abusivo, especialmente cuando el tráfico abusivo proviene de fuentes únicas que se identifican fácilmente por su alto volumen de tráfico.

Después de la adquisición de Symantec, una nueva empresa canadiense llamada MailChannels lanzó su "Control de tráfico" software, que utiliza un enfoque ligeramente diferente para lograr resultados similares. Traffic Control es un proxy SMTP en tiempo semi-real. A diferencia del dispositivo TurnTide, que aplica la configuración del tráfico en la capa de red, Traffic Control aplica la configuración del tráfico a remitentes individuales en la capa de aplicación. Este enfoque da como resultado un manejo algo más efectivo del tráfico de spam que se origina en botnets porque permite que el software reduzca la velocidad del tráfico de zombis de spam individuales, en lugar de requerir que el tráfico de zombis se agregue a una clase.