[Umfrage] honeypots |
||
---|---|---|
#0
| ||
29.05.2003, 11:08
Ehrenmitglied
Beiträge: 831 |
||
|
||
29.05.2003, 13:22
Member
Beiträge: 3306 |
#2
Open Relay Teergrubing and Honeypots
Teergrubing FAQ Neben der Möglichkeit Hacker bei ihrem Vorgehen zu beobachten finde ich die Möglichkeit Honeypots zur Spamabwehr zu benutzen sehr faszinierend. Besonders raffiniert ist das "Teergrubing"-Prinzip. Hier wird ein Open Relay Server aufgesetzt der auch als Honeypot fungieren kann. Wenn jetzt ein Spammer diesen Server benützt wird er nicht einfach geblockt sondern die SMTP-Session wird künstlich offen gehalten. Bei einer Mail stellt das kein sonderliches Problem dar, aber wenn es sich um tausende Mail handelt wird der Mailversand unakzeptabel langsam. Mit ein paar hundert Teergruben weltweit wäre der Versand von Spam schwer bis unmöglich. Da Spam inzwischen eine echte Seuche geworden ist kann ich solche Projekte nur unterstützen. __________ Bitte keine Anfragen per PM, diese werden nicht beantwortet. |
|
|
||
01.08.2003, 14:35
Ehrenmitglied
Themenstarter Beiträge: 831 |
#3
Das typische Beispiel für ein honeypot
Code
Code
Vermutlich irgendeine Linux/Unix maschine. Ich habe dies aber nicht weiter verfolgt. mfg p2k __________ http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de |
|
|
||
12.09.2003, 04:33
Member
Beiträge: 18 |
#4
Kleine Korrektur:
Für ne Teergrube muss man nicht unbedingt einen Open Relay bauen. Wer nen eigenen Mailserver betreibt,sollte den Server so konfigurieren,das er gar nicht erst als Relay von extern genutzt werden kann. Um Spam zu bekämpfen,nützen Teergruben nicht wirklich was.Teergrubing bekämpft eigentlich nur die Spammer aus dem eigenen Netz.Dazu müsste man die bei den ISPs mit ihren offenen Relays implementieren.....es wird immer genügend Spamfreundliche ISPs geben. Die kann man nur kriegen,wenn sie bei möglichst vielen RBLs gelistet sind und die Kunden sie mit Beschwerden wegen nicht erhaltener Mails bombadieren. In Verbindung mit nem Honeypot können die Logs jedoch gut als Futter für die RBL-Listen dienen Greetz,Auggie __________ Du hast keine Chance,aber nutze sie! |
|
|
||
28.10.2003, 23:37
Member
Beiträge: 46 |
#5
Um das Thema nochmal aufzugreifen: Ich finde Teergruben sehr faszinierend und eine gute Möglichkeit, Spammer Einhalt zu gebieten. Allerdings dann nach folgendem Prinzip: Die Teergrube bekommt eine Anfrage zur Mailablieferung. Das Verfahren basiert auf einem Frage-Antwort-Spiel, der Sender fragt "darf ich die Mail an bla@blub.de hier abliefern" und der Empfänger (also der SMTP-Server) antwortet dann mit ja oder nein. Wenn man diese (und nicht nur diese) Antwort jetzt sehr lange hinauszögert kann man die Verbindung (nach Berichten) mehrere Stunden lang offen halten. So hat der Spammer bei mehreren Teergruben etliche Verbindungen offen und wird (zugegeben bei sehr vielen Teergruben) irgendwann daran gehindert, weitere Mails zu versenden.
Dazu gibt es dann auch noch einen HTTP-Server, der Email-Adressen automatisch generiert, die das aktuelle Datum, die Zeit und die Abrufer-IP beinhaltet. Diese Adressen werden von sog. Harvestern "geerntet" und gespeichert. Ein weiteres Ärgernis für Spammer wäre eine automatisch generierte Liste, die Mail-Adressen zu nicht-existierenden Domains (wie z. B. example.com, sieh RFCs) erzeugt. Dadurch werden die Datenbanken der Spammer mit nutzlosen Adressen gefüllt, die beim Versenden Ressourcen verbrauchen (eine Liste kann ja gerne mal 10'000 Adressen beinhalten). Das ganze kann man mit einem relativ einfachen PHP-Skript erzeugen. So far... Matthias __________ Hier könnte Ihre Signatur stehen |
|
|
||
29.10.2003, 16:13
Member
Beiträge: 117 |
#6
@Matneu:
Die von dir beschriebene Vorgehensweise mit den Mailaddressen für nicht existierenden Domains hat allerdings einen grossen Haken: nimmt man einfach "wilde", möglicherweise IM MOMENT noch nicht existierende Domains dafür, kann es sofort oder später einen unschuldigen Unbekannten treffen - und die für die in den RFCs extra aufgeführten Sample-Domains generierten Addressen werden mit Sicherheit ausgefiltert, wenn es sich nicht um einen absolut dämlichen Spammer handelt. Gruss Aahz |
|
|
||
29.10.2003, 17:10
Member
Beiträge: 46 |
#7
Dagegen nehme ich möglichst kurze, also 3-stellige Adressen mit TLDs, die nicht existieren, also etwa *@abc.ab
Kurz deshalb weil es sich bei einer Seite mit 10'000 Adressen schon bemerkbar macht, ob die Domain 3 oder 5 Stellen hat. Und ich denke nicht, daß nach TLDs gefiltert wird. Für eine Teergrube müßte man natürlich dann die eigene Domain benutzen, sonst funktioniert sie nicht So far... Matthias __________ Hier könnte Ihre Signatur stehen |
|
|
||
30.10.2003, 12:24
Member
Beiträge: 907 |
||
|
||
02.11.2003, 12:30
Ehrenmitglied
Themenstarter Beiträge: 831 |
#9
Bei AMTP sage ich nur IPv6
IPv6 wurde geheiligt. Aber ist es bis heute eingeführt? Die Umstellung ist aus Sicht vieler grosser Firmen zu gross. Denkst du dies ist bei AMTP nicht so? __________ http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de |
|
|
||
02.11.2003, 17:53
Member
Beiträge: 907 |
#10
solange wie die meisten noch mit spam verdienen können (und auch die softwarehersteller verdienen ja durch spam) wird dies nur träge voran gehen.
aber eines tages wird man nicht herum kommen und amtp ist von ansatz her nicht schlecht, leider aber wie schon richtig gesagt mit großem aufwand verbunden so richtig benötigen tun wir ja IPv6 derzeit (noch) nicht, deshalb dauert die ganze sache auch aufgrund von bequemlichkeit so lang bei amtp könnte das anders sein, wenn erste große mail-provider (freemailer, hoster, ...) solche dienste als "option" anbieten, was dann sicher auch genutzt wird lassen wir uns überraschen mich nervt jedenfalls spam in größenregionen von 100 stck./tag greez |
|
|
||
Das honeynet ist nun ca 2 Jahre alt.
Was ist das honeynet eigentlich?
Es besteht aus dem honeyd und diversen Scripte dazu, die z.B. einen Apache simulieren.
Was macht das honeynet?
Es hat sich zum Ziel gesetzt, die Vorgehensweiße von "Hacker" zu analysieren.
Ein honeyd wird oft in großen Firmen eingesetzt, indem man versucht den honeyd ein paar Sicherheitslücken zu verpassen und in somit als leichte Beute darzustellen. Sollte nun dort jemand zugreifen, bleiben die anderen Rechner länger unberührt und das Verhalten des Angreifers kann studiert werden.
Wie verschafft sich ein "Hacker" zugriff auf das System?
Was macht er mit dem System?
Richtet er Backdoors ein? Wenn ja wie und welche?
Was verändert er?
Dringt er weiter in das Interne Netzwerk vor?
Es ist nicht von bedeutung ob Seiten vom WebServer gelöscht werden, sondern ob und was er mit dem Rechner danach macht! Z.B. illegales filesharing ; spoofing auf andere hosts ; einsatz von sniffern ; planung von ddos angriffen (den honeynetserver als master verwenden)
Mit honeys wurden übrigends auch schon desöfteren Sicherheitslücken frühzeitig aufgedeckt.
Wie denkt ihr über dieses Projekt? Wenn ihr noch Infos einfliessen lassen wollt, dann nur her damit.
mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de