异常SMTP讯与EmailSpam的自动通告.ppt

Susan Yang (NCU-CC) 8-27/2003 異常SMTP訊務與Email Spam的自動通告? 中央大學 電算中心 楊素秋 Email: center7@.tw 大 綱 1.研究動機 2.異常SMTP訊務的監測 3.Spam與異常SMTP訊務的相關 4.Spam 事件的自動通告 5.結論 1.研究動機 加速 Email Spam 通告 IP 管理資訊查詢 區網 Routing Table RWhois查詢服務 Spam event 的自動通告 異常SMTP訊務的監測 Flow count 超量 Packet Density 分析超量SMTP傳訊主機與通告spam relay/sender 的相關 2.SMTP與 Spam傳訊 SMTP 傳輸 Client詢問DNS MX list,建立信件delivery route 紀錄sender與receiver間的多個mail relay/server 將 reverse-path加入mail header 與SMTP relay建立雙向連接,沿SMTP route傳送信件 relay收進信件後 與下一relay 建立連接/轉送信件. 最後的deliver relay 將信件分送到用戶mailbox. Spam UCE (Unsolicited Commercial Mail) spammer利用自動搜尋程式 持續尋找 newsgroup (BBS boards) Join mailing list 網頁的mail addresses 所侵入系統的mail account Regular sequence mail account 重複/密集寄送廣告信件 Spammer 以最低的成本,透過全球網路傳送超大量廣告信 Internet用戶 花費可觀的連線費用,時間與精力下載/收取/刪除大量spam. ISP 耗費更龐大的網路與系統資源重複傳送junk mails 影響mail的正常收送 為避免回覆大量的spam complain Spammer藉由自動搜尋程式 尋找未設防的SMTP server 作為spam relay/sender 傳送廣告信件往蒐集的newsgroup/mailing list及mail accounts Guess Receipts 甚至透過mail夾檔散播病蟲或攻擊程式 侵入網路主機.集結更大量的感染主機 寄發/轉送更大量的spam. 減緩Spam倍數成長的主要途徑 (1)回報/檢舉Spam event 減少一個 spam relay/sender 減少millions of spam (2)監測可能的spammer主機及訊務 SMTP訊務量測 篩選異常訊務量 回報/檢舉Spam event 連網中心建立abuse Email帳號 abuse@domain, spam@domain, security@domain 接受所轄IP主機的Spam/ Junk通告信. 網路用戶 依據spam route,萃取發送主機與relay servers “Received:”, “From:” 紀錄項 回應給發信主機與relay server擁有者 Report給spam report site EX: 偵測可能的spammer主機及訊務 依據Spam 傳訊特徵,實作異常SMTP訊務的統計 High frequently Obviously high SMTP connection count Repeatedly last for several hours 協助管理者監測異常的mail訊務 據以Check /var/log/maillog 據以Check user mailbox 預先發現感染主機, 通告用戶修補漏洞 通告的Email Spam (2003年 7月至 11月) 桃園區網每月處理的Spam mail通告主機總數. 主要的abuse通告信件 S 通報 廣告郵件的 relay server/sender myNetWatch 通報 CodeRed/Nimda感染主機(80/TCP) SYN Flooding (445/TCP, 17300/TCP, …) 環球或派拉蒙製片 通告侵犯智財權的eDonkey主機及其影片檔存放 Others 3異常SMTP訊務的監測 異常SMTP訊務的監測 Spam傳訊特徵 Frequently Obviously high frequency of SMTP connections Repeatedly Last for Many hours (Mean Packet Size) Little than 100 Bytes per Packt More tha