Az elektronikus levelezô-szerverek által karbantartottlevélcímek megszerzésének egyik lehetséges módja acímkinyerô támadás (Directory Harvest Attack), melyneksorán egy támadó létezô e-mail címeket kísérel megösszegyûjteni címek próbálgatásának segítségével. Alevelezô szerverek, amennyiben egy érkezô levél nemaz általuk karbantartott felhasználók címére lett küldve,úgy vagy azonnali, vagy késôbbi visszajelzést adhat-nak arra nézve, hogy a kapott levélben szereplô fel-használó postafiókja nem létezik a nyilvántartásukban.Ez a folyamat információval szolgál a levelezô-szerveráltal karbantartott e-mail címekrôl. A támadók ezt azinformációt használják ki, nagy számú levelet küldve azadott e-mail szervernek. Azokról a címekrôl, amelyekrôlnem érkezik válasz, azaz a szerver negatív visszajelzésnélkül elfogadja a levelet, nyilvántartást vesznek fel.Ezek a címek minden valószínûség szerint érvényesfelhasználói azonosítókhoz tartoznak, így érdemeslehet rájuk a késôbbiekben kéretlen leveleket küldeni.

A DHA támadás lehetôsége ismert volt eddig is, áma sok alternatív levélcím összegyûjtési lehetôség miatteddig nem kapott kiemelt fontosságot a kéretlen levél-küldôk által célpont összegyûjtés során használt esz-közök között. Ahogy a felhasználók egyre jobban vi-gyáznak e-mail címeikre, a DHA elôtérbe került és a tá-madók elkezdték elôszeretettel alkalmazni.

A cikkben számba vesszük a lehetséges védelmimegoldásokat és ezen alapelveket felhasználva bemu-tatjuk az általunk implementált több programkompo-nensbôl álló, hálózaton keresztül együttmûködô rend-szert. A rendszer egy feketelistát felhasználó megol-dás, ahol a feketelista a támadók IP-címeit tartalmazzaegy központi adatbázisban. A levelezôszerverek védel-mét egy támadást bejelentô modul és a támadó levél-küldését megakadályozó front-end modul látja el. A fe-ketelista szerver tulajdonképpen egy DNS kiszolgáló,ahova a kliensektôl érkezô bejelentések és lekérdezé-sek is DNS lekérdezés formájában utaznak. A DNS le-kérdezésre a szerver egy IP-címmel válaszol, ami a kli-ens oldalon jelentheti akár azt, hogy a kérdezetett IP

támadóhoz tartozik, akár azt, hogy ártatlan. A meglevôrendszerek mellé beépítve, azoknál erôforrás megtaka-rítást lehet elérni, mivel a DHA támadók levelei nem ke-rülnek a lassabb, erôforrás igényesebb tartalomszûrômechanizmusok rostája alá, korábban ki lehet tiltaniôket a rendszerbôl. A rendszer valós környezetben va-ló helytállása bizonyítja, hogy megfelelôen mûködik ésaz alkalmazott védelemi módszer eredményes. A cikk-ben ezen valós rendszer által összegyûjtött eredmé-nyeket elemezzük és rendszerezzük, bemutatva, hogymilyen lehetôségek vannak a támadások csoportosítá-sára az összegyûjtött információk alapján.

1. Bevezetés

Az emberek az egyre növekvô kéretlen levelek áradatá-nak, levélben terjedô vírusok és más kártékony kódokhatására egyre jobban meggondolják azt, hogy kinekis adják oda az e-mail címüket. Átgondolják, hogy megmerjék-e kockáztatni, hogy valamilyen online fórumonhasználják címüket, vagy akár azt is, hogy a weblapju-kon rajta hagyják-e ezt a fontos személyi adatukat.Mindkét esetben ugyanattól kell tartani: a keresôrobo-tok képesek összegyûjteni a mailto:user@levelcimalakú hivatkozásokat. A cél sajnos már minden Inter-net-felhasználó számára nyilvánvaló: a címeket kéret-len levelek, spamek kiküldésére kívánják felhasználni.A fórumok ilyen szempontból kiemelten veszélyesek, hi-szen ha kifejezetten nem korlátozzuk az e-mail címünkszerepeltetését, akkor minden hozzászólásunk melléodakerülhet.

Egy alternatív e-mail címgyûjtési lehetôség az em-beri hiszékenységet kihasználó támadási forma: a ha-mis oldalak és kérdôívek módszere (phishing). Egynépszerû, látogatócsalogatónak tûnô oldalon valami-lyen ügyes fogással (például nyereményjátékok, reklám-ajándékok) ráveszik az áldozatot, hogy beírja az ada-tait. Így garantáltan mûködô címeket tudnak a táma-dók összegyûjteni.

2 LXI. ÉVFOLYAM 2006/5

DHA támadás elleni védekezés központosított szûréssel

SZABÓ GÉZA, BENCSÁTH BOLDIZSÁR

BME Híradástechnikai Tanszék, CrySyS Adatbiztonsági Laboratórium{szabog, boldi}@crysys.hu

Kulcsszavak: DHA, címkinyerô támadás, feketelista, DNS, központosított védekezés

Cikkünkben a spamvédelmi módszerek területén végzett kutatásainkat és fejlesztési terveinket, eredményeinket kívánjuk

vázolni. A tervezett védekezési módszerek komponens alapú fejlesztések, egymással szorosan összefüggô módszerek,

melyek egymás szoftverelemeit is jelentôs mértékben felhasználják. Elemezzük a rendszerünk által összegyûjtött adatokat

és bemutatjuk, hogy milyen tipikus DHA támadók vannak, illetve hogy ezeket egyértelmûen meg lehet-e különböztetni egy-

mástól pusztán a támadási statisztikák alapján.

Ha a felhasználó a fent említett e-mail cím gyûjtésilehetôségeket kizárta, ám gondosan kezelt e-mail címé-re egyszer csak kéretlen levelek kezdenek el özönleni,akkor e-mail szolgáltatója nagy valószínûséggel egycímkinyerô, azaz directory harvest attack (DHA) táma-dásnak esett áldozatul.

A DHA témája sokszor elôkerül, és a kereskedelmiantispam termékek egy hirtelen mozdulattal ki is pipál-ják az általuk nyújtott szolgáltatások listáján, elfelejtvénmegemlíteni, hogy milyen módszert is használnak a tá-madás kivédésére. A továbbiakban a lehetséges mód-szereket foglaljuk össze és javaslatot teszünk egy ha-tékony védelmi mechanizmusra.

1.1. Miért lehetséges a címkinyerô támadás?

A DHA problémája a levéltovábbítási protokollban(simple mail transport protocol, SMTP) [1] gyökeredzik:az e-mail szerverek, azaz az SMTP kiszolgálók, vagymás kifejezéssel élve levéltovábbító ügynökök (mailtransport agents, MTA), ha megfelelô e-mail címre kap-ták a levelet, úgy nem adnak semmilyen visszajelzést,egyszerûen csak elfogadják azt. Azonban a szerver,ha egy nem létezô címre kap levelet, úgy vagy azon-nali, vagy késôbbi visszajelzést adhat arra nézve, hogya felhasználó postafiókja nem létezik.

A címkijutás mellett problémát jelenthet a levelezéstkiszolgáló szerver összeomlása. Az e-mail címek meg-szerzése érdekében a támadó rengeteg téves leveletküld a szervernek, amely így jelentôsen, hosszú idôre,és akár több támadótól is leterhelésre kerül. A leterhe-lés leköti a kiszolgáló hálózati kapacitását és procesz-szorát is. Ez végeredményben egy szolgáltatás megta-gadási (denial of service, DoS), azaz a hardver vagyszoftver megbénításával, illetve mûködésének zavará-sával a felhasználót elérhetetlenné tevô támadást ered-ményez.

1.2. A támadás fajtáiA DHA támadást, azaz a címlista-kinyerô támadást,

két típusba sorolhatjuk: az egyik „brute force” jelleggelaz összes lehetséges karakter, illetve szótag kombiná-ciót kipróbálja, mint e-mail címet. A másik jóval szofisz-tikáltabb: tipikusan elôforduló e-mail címeket generálvagy gyûjt emberek vezeték és keresztnevébôl, gyak-ran elôforduló szavakból, szóösszetételekbôl, továbbáismert e-mail azonosítókból.

Másik lehetséges csoportosítása a DHA támadás-nak a felhasznált IP-címek száma alapján történhet: az„alap” változatban a támadó ugyanarról az IP címrôlpróbálkozik, a másik esetben több IP címmel rendelke-zik és ezeket felváltva használja a támadáshoz, és ez-zel egy eloszott címlista-kinyerô támadást hozva létre(Distributed DHA).

2. DHA-val kapcsolatos munkák

A DHA problémája többnyire ismert, a védekezés viszontjelen pillanatban meglehetôsen rendezetlen, mivel min-denki a saját maga által kifejlesztett eszközét próbáljahasználni. Azon cégek, amelyeket DHA nem ér, több-nyire nem is védekeznek. A kereskedelmi termékekfunkciójukat tekintve inkább antispam termékek, és nema DHA támadás ellen vannak kihegyezve. Nagyrészt avalós idôben frissített fekete lista (Real-time Black/BlockList, RBL) alapú megoldásokat támogatják levél érke-zésekor, azaz nyilvános RBL-listákon ellenôrzik a feladócímét, hogy támadónak minôsítették-e már korábban.

A specifikusan DHA elleni védekezésre felkészítettermékek közül az egyik legegyszerûbb megoldást vá-lasztotta a Kerio MailServer [16]: felfigyel a nem létezôpostafiókoknak küldött levelekre és egy bizonyos számfelett elkezdi szûrni a lehetséges támadókat. A SecludaInboxmaster [17] már konfigurálható SMTP hibaüzene-tek beállítását teszi lehetôvé, így ha egy spamet detek-tálnak a levél kézbesítés közben, a szerver egy válasz-üzenetet küld a feladónak, hogy nem létezô e-mailrepróbált levelet küldeni. Ezzel a megoldással az a leg-fôbb probléma, hogy a DHA támadást nehezen szûri ki,hiszen az ebben a támadásban részvevô e-mailek ál-talában nem tartalmaznak spamet, amit a spamszûrômódszerek így nem jeleznek.

Komolyabb védelmet jelent a jól bevált elemek egy-beépítésével operáló a Styx Mail Filter [14]: itt egy hard-ver-szoftver együttest kap a vásárló, ami a kéretlen rek-lám levelek és vírusos tartalmak szûrését végzi a leve-lek levelezô rendszerbe jutása elôtt. Az alapkivitel sza-bad szoftvereket használ, így megtalálható benne aClamAV [11] víruskeresô és SpamAssasin [10] spam-szûrô. Ez utóbbi egy RBL-alapú megoldást foglal ma-gában, amely kiegészül egy Bayes szabály-tanuló rend-szerrel, Razor1 és DCC2 komponensekkel, ami a levelekszûrését elvégzi, de DHA támadást nem jelent az RBL-szerverek felé. Az is elôfordul, hogy a termék dokumen-tációja alapján nem tudni, hogyan mûködik, de a haté-konyság miatt, nagy valószínûséggel RBL-alapú, ilyenpéldául az eSafe Advanced Anti-spam Software [15].

Az egyszer használatos e-mail címek szükségessé-ge esetén egy lehetséges megoldást nyújthat a maili-nator [9]. Egy azonosítás nélküli e-mail szervert valósí-tanak meg, ami semmi másra nem jó, mint hogy leveletfogadjon. Bármilyen címzettnek erre a címtartományá-ra érkezô levelet elfogad, aminek a postaládáját meglehet tekinteni belépve az oldalra. A leveleket és azideiglenes postaládákat óránként ürítik, így arra is jó le-het, hogy például egy fórumra való bejelentkezéshezszükséges megerôsítô e-mailt elküldenek erre a helyre,amit megnézünk egybôl, és megerôsítjük belépésün-ket. Mivel semmilyen azonosítás nincs, ezért bárki meg

DHA támadás elleni védekezés

LXI. ÉVFOLYAM 2006/5 3

1 Vipul’s Razor [12] – egy elosztott, kollaboratív, spamfelismerô és -szûrô hálózat. A rendszernek állandóan frissülô adatbázisa van a felhasználók és a rendszert használó kliensek által beküldött spamek ujjlenyomatáról,azaz azokról a levelekrôl, amit a felhasználók spamnek ítéltek. Egy levél vizsgálata úgy történik, hogy ellenôrzik a levél ujjlenyomatát, nem szerepel-e a Razor feketelistáján.

2 Distributed Checksum Clearinghouse [13] – A Razor-hoz nagyban hasonló megoldás, de a kliensek itt minden e-mail hash lenyomatát átküldik,és a rendszer azt a lenyomatot ítéli egy kéretlen reklám levél lenyomatának, amit nagyon gyakran jelentenek neki.

tudja nézni bármelyik postafiókot. Ezzel a módszerrelegyben egy honeypot3-ot is megvalósítanak, és egyórára visszamenôleg meg tudják mutatni, hogy ki az,aki a legaktívabban küldözget nekik levelet.

3. A lehetséges védekezések

A DHA támadás ellen szóba jöhetô védekezési mecha-nizmusok kerülnek bemutatásra a következô részben.

3.1. Új programelemet nem igénylô módszerekA védekezés egyik lehetséges formája, ha nem te-

lepítünk új programokat a meglévô levelezô rendszermellé, hanem a következô pontokban bemutatott mód-szerek valamelyikét használjuk.

3.1.1. Egyszer használatos e-mail címA védekezés a DHA támadás ellen történhet egy-

szerûen bonyolultra választott e-mail címekkel, ami aszótáras támadás ellen ideig-óráig véd, de a környeze-tünk nehezen fogja tudni megjegyezni új e-mail címün-ket. A védekezés ezen formája brute-force támadásokellen haszontalan lehet, továbbá nem véd a cím kiszi-várgásának más lehetôségei ellen.

Az e-mail címmel való védekezés másik lehetségesmódja, ha egyszer használatos e-mail címet haszná-lunk. A megoldás hibája, hogy a kommunikáció elégegyoldalú lehetôségét teremti csak meg, mivel küldenigond nélkül fogunk tudni levelet bárkinek, de ha vá-laszt is várunk egy levelünkre, akkor a válaszcímeknekléteznie kell mindenképpen. A levelezésünk tehát nemteljesen egyszer használatos, így jelentôs karbantar-tást, adminisztrációt igényel. Teljesen egyszer haszná-latos e-mail esetében válaszra nem számíthatunk.

3.1.2. Különleges szerver konfigurációMegoldás az is, ha a szervert úgy konfiguráljuk, hogy

fogadjon el minden e-mailt és ne jelezzen vissza rólasenkinek, a téves leveleket pedig egyszerûen eldob-juk. Ez több problémát vet fel: a levélküldôk nem tud-ják meg, hogy a cím nem létezik, és eláraszthatják aszervert téves levelekkel. Fontos az is, hogy a legitimfelhasználók sem kapnak visszajelzést a tévesen cím-zett levelekrôl. Mindezek miatt a visszajelzés letiltásanem javasolható. A legmegfelelôbb természetesen azSMTP protokoll finomítása lenne, de mit tudunk addigis tenni, amíg ez nem következik be?

3.2. Új program elemet igénylô módszerekEbben az esetben már valamilyen aktív komponens

kerül az eddig használt levelezô-rendszer mellé. Két el-térô megoldást lehet alkalmazni, illetve ezek együtte-sét, növelve egymás hatékonyságát.

3.2.1. Egyénileg védekezô rendszerAz egyik megoldás az egyénileg védekezô rendsze-

rek. Ekkor minden résztvevônek van egy saját önmûkö-dô rendszere, amely a döntéseit egyéb rendszerektôlfüggetlenül hozza. A támadásszûrést a levéltovábbítássorán keletkezô hibaüzenetek alapján lehet elvégezni.

Ha a támadó DHA támadás során levelet küld, ak-kor téves címzettnek küld e-mailt egy adott IP címrôl,majd késôbb újra fog próbálkozni ugyanarról az IP cím-rôl másik tévesen címzett levéllel. Elosztott DHA eseténis általában több e-mail címet próbál ki a támadó ugya-nazon IP-címrôl még mielôtt IP-címet váltana. Azonbanvan olyanra is példa, hogy nem küldenek sok leveletegy címrôl. A támadás elosztottsága függhet a detek-tált szûrési módszertôl és a támadó által várt haszon-tól. Felmerülhet az a kérdés, hogy mennyire bízhatunkmeg a feladó IP-címének valódiságában. Ha tudjuk,hogy a levelet végül egy megbízható levelezô szervertovábbította felénk, akkor a szerverrel fel kellett tudniaépíteni a kapcsolatot a levélküldônek, így a címe nemlehet hamis, ha pedig nem megy keresztül több levele-zô szerveren, akkor velünk is képesnek kell lennie kap-csolatot kiépíteni, ami publikus cím tartományok eseténcsak úgy lehetséges, ha legalább a címtartománya (sub-net-je) valós (részletes vizsgálat [5]).

3.2.2. Hálózaton alapuló védelem – a javasolt rendszerünkMásik lehetséges védelmi mechanizmus a hálóza-

ton alapuló védelem. Ekkor a rendszer a hálózat egyébrésztvevôivel együttmûködve próbál védekezni a DHAtámadás ellen. Javasolt megoldásunk a következô:

Ha egy támadó egy ismeretlen címre küld egy e-mailt a megtámadott szerveren, a megtámadott szerverküld egy hibajelentést a központi szervernek. Ez a hi-bajelentés tartalmazza a támadó IP-címét, a kipróbálte-mail címet, és a támadás idejét. A központi szervergyûjti ezeket a jelentéseket, és ha túllép egy küszöbötaz ezen IP-rôl jövô próbálkozások száma, akkor behe-lyezi a támadó IP-címét a feketelistára. A szerver a lis-tára kerülés után is jegyzi a támadó kísérleteit, így nemhagyja elévülni a bejegyzést. A feketelista tartalmátcsak konkrét cím vonatkozásában lehet lekérdezni aszervertôl, azaz a szerver egy igen-nem választ ad ar-ra a kérdésre, hogy egy e-mail feketelistás-e vagy sem.

A feketelistákról (Black Lists) röviden:Eredetileg a kéretlen leveleket küldôik saját e-mail

címükrôl küldték szét, mintha csak rendes levelet kül-denének. Ezeket a felhasználókat (számítógépeket)könnyen azonosítani lehetett, majd kitiltani ôket visel-kedésük miatt, így a levélküldôk elkezdtek levél közve-títôket (open relay4) használni, melyek átvették a levél-továbbítás terhét. Legújabban kompromittált kliens gé-peket használnak (zombie5). Ezzel elérhetik, hogy kevés

HÍRADÁSTECHNIKA

4 LXI. ÉVFOLYAM 2006/5

3 Általában egy, vagy több hálózati csatlakozással bíró, valamilyen sebezhetô operációs rendszert és szolgáltatást emuláló rendszer. A támadók könnyû célpontnak vélik és felfedik ezáltal magukat és szándékukat, így tôlük már az éles rendszer védhetôvé válik.

4 Olyan levéltovábbító szerver, mely hajlandó olyan levelek továbbítását is átvenni, hol sem a feladó, sem a címzett nem helyi felhasználó.5 Valamilyen módon trójai programot juttatnak a felhasználóhoz, mellyel számítógépét irányítani lehet.

Ezzel tudta nélkül rávehetik naponta akár több száz levél elküldésére is.

erôforrás lefoglalásával, amit egy-egy felhasználó úgy-sem vesz észre, összességében nagy mennyiségû ké-retlen levelet küldjenek szét. Az ismert spamforrás e-mail címeket, spam küldô gépre vonatkozó IP-címeketfeketelistákon szokták összegyûjteni.

Az RBL-listákból több fajta van: van ami e-mail címe-ket, DNS neveket, DSL címeket, open-relay szervereket,open proxy-kat [7] gyûjt. Ezek teljesen naprakészek ésugyanolyan típusú RBL szerverbôl több is létezik a vi-lágon elszórtan más-más szervezetek által üzemeltetveés esetleg egymástól kicsit eltérôen megvalósítva. Az,hogy adott céllal és módszerrel is akár több RBL szer-ver létezik hasznos lehet védelmi szempontból, mertnem olyan könnyû megtámadni, kiiktatni a szervereket.Az is igaz azonban, hogy az RBL szerverek egy részelassan frissül, pontatlan adatokat tartalmaz. A rendszer-gazda (illetve esetleg a szoftverfejlesztô) feladata le-het, hogy az RBL listák használata során olyan kombi-nációt dolgozzon ki, amely megfelelôen hatékony a szer-vezet számára (például pontozás alapú heurisztika).

A feketelistás megoldások több szempontból is sze-rencsések [6]: technikai szempontból segítik megaka-dályozni a spam bejutását, másrészt képes társadalminyomás kifejtésére, megalapozására a kéretlen levele-kért felelôs gépek, illetve szolgáltatók irányában, hi-szen a letiltott berendezéseket használó legitim fel-használók kénytelenek fellépni szolgáltatójukkal szem-ben a rendszer megfelelô müködésének visszaállításaérdekében.

4. A javasolt rendszer mûködésénekleírása

A javasolt rendszer egy rendszernapló-elemzôbôl, ésegy ennek eredményét késôbb felhasználó front-endmodulból áll. Az eredményeket központi nyilvántartás-ban összegezzük, azaz nyilvántartjuk azokat a gépe-ket, amelyek DHA támadásban érintettek. A feketelis-tán IP-címeket tárolunk, és passzív monitorozást vég-zünk [2].

Ha a DHA támadó küld levelet a rend-szernek, akkor a mûködés a következô:az elsô levél átmegy az ellenôrzésen, mi-vel az IP-címe még nem került be a szer-ver adatbázisába, hiszen még nem voltolyan résztvevô, aki támadást jelentettvolna errôl a címrôl. Az üzenet tovább-megy a levelezô-szerverbe, ami egyfe-lôl ellenôrzi, hogy kézbesíteni tudja-e ahelyi postafiókokba a levelet. Mivel tá-madás esetén sikertelen a kézbesítés,a jelentés bekerül a rendszernaplóba.A rendszernapló elemzô rendszere aze-mail kiszolgáló jelentéseibôl valós idô-ben megnézi, hogy a téves címzésselrendelkezô e-mailek honnan jönnek(milyen IP-címrôl), és ezekrôl részletesjelentést tesz a központi adatbázisnak.

A rendszer a DNS protokollt használja a lekérdezé-sekre és jelentés küldésére a védett szerverek és aRBL-szerver között. A DNS protokoll elônyei közé tarto-zik a robosztusság. A DNS szervere cache-mechaniz-musa növeli a rendszer stabilitását, mivel ideiglenes hi-ba esetén is tudhat megfelelô választ adni lekérdezé-sekre. A DNS protokoll többnyire a tûzfal konfiguráció-kon is átjut, nem igényel újabb nyitott portokat. (A DNSteljesítményének részletes vizsgálatát [3]-ban lehetmegtalálni.)

Csökkenthetô azon IP-címek támadó adatbázisba ke-rülésének esélye, akik egyszer-egyszer csak véletlenülelgépelik a címet. A központi adatbázisban nem kerül-nek be egybôl a bejelentett IP-címek a támadók közé,hanem elôtte az elôzô bejelentéseket is alapul véve abejelentési idôközök gyakoriságát kiszámolja a szerver.Ha ez egy bizonyos értéket átlép, akkor teszi át a be-jelentett IP-címet a támadók listájára.

5. A javasolt megoldás implementációja

A rendszer prototípusát (1. ábra) linux rendszer felhasz-nálásával hoztuk létre, standard levelezést lebonyolítómegoldásokkal. Új levél érkezése esetén az inetd rend-szerprogram mûködésbe hozza a levelezô szervert. Ezhagyományosan a 25-ös TCP portra érkezô kérésekrefigyel, és elindít hozzá egy MTA-t (pl. sendmail, postfix,exim stb.) Ám a mi esetünkben nem közvetlenül adjukát a kérést a levelezô szervernek, hanem egyik modu-lunkon keresztül átvezetjük a kérést. Ez a modul fele-lôs a DHA támadások kiszûréséért, azaz az ismert tá-madók kitiltásáért.

A DoS frontend [4] elôbb statisztikai módszerekkelellenôrzi, hogy az adott IP címrôl nem hajtanak-e vég-re DoS támadást a levelezô szerver ellen, és ha ezena szûrésen átment az IP, akkor kerül sor a DHA táma-dással kapcsolatos ellenôrzésre. DoS támadás érzéke-lése esetén a DoS frontend modul eldobja az adott tá-madó felôl jövô TCP kapcsolatokat. A DHA támadó fe-

DHA támadás elleni védekezés

LXI. ÉVFOLYAM 2006/5 5

1. ábra A rendszer protípusa

lôl jövô levél ezután nem megy tovább a levelezô rend-szer felé, tehát nem kerül kézbesítésre és így nem ke-letkezik újabb bejelenteni való a szerver felé.

A szûrésen átment TCP kapcsolatot továbbadjuk alevelezô szervernek, ami a teszt környezetekben exim4levelezô szerver. A rendszernapló elemzô a linux syslognaplóállományában valós idôben keresi a levelezô rend-szer által generált jelentéseket. A különbözô levelezôszervereknek a rendszernapló bejegyzései eltérôek, ígymás-más bejegyzések vizsgálatára is fel kellett készíte-ni az elemzô modult. A naplófájl típusát egy külsô kon-figurációs fájlban lehet beállítani a modul regisztrálása-kor használt azonosító és titkos kóddal együtt. Az RBL-adatbázis MySQL-ben lett megvalósítva. Az adminiszt-rációs felület Apache és PHP futtató környezetet igé-nyel. A rendszernapló elemzô modult és a RBL-szerverPerl-ben lett implementálva. A rendszer mûködés köz-ben is megtekinthetô [18], illetve a kliens és szerverprototípus is letölthetô.

6. A javasolt rendszer vizsgálata

Az alábbiakban a megvalósított rendszer más megoldá-sokkal kerül összevetésre, illetve a védekezési eljárásés a védett rendszerek támadhatóságát vizsgáljuk meg.

6.1. A rendszer elônyeiTöbb rendszer az egyéni védekezés módszerét, a

gépek önálló védelmét valósítja meg, amivel az a nyil-vánvaló baj, hogy ha egyetlen gépet védenek és nemegy központot használnak, akkor egy széles körbenelosztott támadás ellen nem véd. Az általunk javasoltközpontosított megoldás a központ leállása esetén ha-sonló módon képes önálló döntést végrehajtani.

Több komplett antispam rendszer állítja magáról,hogy védelmet biztosít a DHA támadások ellen, de amegoldás által használt módszert nem ismerteti. Érde-kes, hogy a kereskedelmi szoftvergyártók az RBL-szer-verekkel együttmûködnek egy levél érkezésekor, azazkiszûrik az ismert támadók IP-címeit, de támadás ese-tén többnyire nem járulnak hozzá ezen listák automati-kus bôvítéséhez.

A rendszerünk támadást bejelentô megvalósítása isRBL-alapú és integrálható más rendszerekbe. A köz-ponti nyilvántartás segítségével a komponenseinkethasználó összes résztvevô profitál egymás bajából is,azaz egy támadó nemcsak egy helyen lesz kitiltható,de másoknak sem fog tudni károkat okozni, amennyi-ben a támadást a szûrést végzô rendszeren bejelentikközpontunknak. A rendszer kliens oldalának megvaló-sítása komponens-alapú, aminek több elônyös követ-kezménye is van:

– a támadók bejelentési és a tiltási mechanizmusakülönválasztható;

– egy már meglevô rendszer is kiegészíthetô vele,illetve akár csak bizonyos komponenseivel, így növelve a meglévô hatékonyságát is, nem kell a teljes rendszert átalakítani;

– a komponensek transzparensek kívülrôl, így a kiesésük esetén nem teszik a rendszerthasználhatatlanná;

– a DHA védelmi komponens segíti, hogy a gépek védelme komplex, átfogó legyenés a meglévô vírus és spamszûrôket kiegészítvenyújtson védelmet.

6.2. Téves riasztások kezeléseA rendszer támadóknak tekinthet olyan levélküldô-

ket is, akik csak véletlenül elgépelik a címet és így nemlétezô postafióknak küldenek levelet. A központi adat-bázisba sajnos ilyen esetben is támadóként kerül belea felhasználó által használt SMTP kiszolgáló. A tévesriasztások alacsonyan tartása érdekében több mód-szer használható, hogy az egyedi téves levelek elvá-laszthatóvá váljanak a valódi támadóktól: egyrészt aközponti adatbázisban az is nyilvántartható, hogy azegyes IP-címek mennyire „veszélyesek”. Azaz pontoznilehet ôket aszerint, hogy hány bejelentés érkezett arraaz IP címre vonatkozóan.

Másrészt alkalmazható öregítés (aging) a központiadatbázisban. Az öregítés, azaz az adat eltávolításaadott idô elteltével nagyon fontos szerepet játszik arendszerben, ezért jól kell megválasztani a használt me-tódust: ha egy támadót eltávolítunk a listáról, akkor to-vább támadhat, ha viszont túl sokáig van rajta, akkorakár a rendes felhasználók forgalmát is megakadályoz-hatja (például olyan IP címek esetén, amikor a felhasz-nálók gyakran cserélôdnek ugyanazon IP cím mögött).

A téves riasztások a rendszer legnagyobb gyenge-ségét jelenthetik, hiszen a nagy számú téves riasztás-ból adódóan elôfordulhat, hogy a rendszergazda in-kább kikapcsolja a védelmet. A téves riasztások problé-májának megoldása emiatt a rendszer mûködésénekszempontjából kulcsfontosságú.

6.3. A védelem eredményességeA központosított szûrés eredményeképpen a táma-

dó csak egy nagyon korlátozott számú próbát tehet avédett címtartományokon. A tipikus támadás során soke-mailt küldenek ki rövid idô alatt, így a rendszer hamarbesorolja a támadókat a tiltólistára. A tiltás után a táma-dónak ki kell várnia az öregítést, azaz azt az idôt, amíga rendszer kiszedi az IP-t az ismert támadók listájáról,majd a folyamat újrakezdôdhet. A támadó gépe egy bi-zonytalan végeredménnyel záródó próbálkozás alap-ján tiltólistára kerülhet, és utána azt nem tudja használ-ni nagyobb haszonnal kecsegtetô támadásokra sem,például spam kiküldésére. A támadónak tehát védel-münk alkalmazása esetén nem lesz érdeke a DHA táma-dás mindaddig, míg az abból származó haszon meg nemhaladja az alternatív módszerekkel elérhetô hasznot.

Természetesen a rendszerünk nem nyújt védelmeta nem védett rendszereknek, így azokon korlátlanulpróbálkozhat a támadó. A védelem csökkentheti a tá-madó nyereségét, gazdaságtalanná téve a DHA táma-dást, ezáltal a nem védett rendszereknek közvetveokozhat hasznot.

HÍRADÁSTECHNIKA

6 LXI. ÉVFOLYAM 2006/5

7. A támadók csoportosítása támadási intenzitás alapján

A DHA támadókról feltételezzük, hogy megkülönböztet-hetôek. Egyik ilyen megkülönböztetô jegyük a támadá-si statisztikájuk. Megvizsgáltuk a valós rendszerekbôlgyûjtött támadási statisztikákat, és megpróbáltunk tipi-kus támadó modelleket kialakítani.

Az egyik tipikus támadó modell a tudatos támadók(3. ábra), akiknek a viselkedésén látszik, hogy nem vé-letlenül küldenek néha egy-egy levelet, hanem nagyintenzitású, alkalmi támadást indítanak.

Az idôpontokat megvizsgálva azt látjuk, hogy a tá-madók otthoni számítógépüket bekapcsolva hagyva,tipikusan munkanapokon támadnak. Hétvégén a táma-dások általában szünetelnek. Ekkor az internet-eléréstnyílván másra is használják. Jellemzô rájuk egy állandólevélküldési sebesség, mivel a sávszélességüknek egyfix hányadát használják a támadásra. Ez általában nem

nagyon ingadozik, félgázzal sohasem támadnak, hamás dolguk van, akkor teljesen leállnak és akkor kezdikújra, amikor megint meg van hozzá az erôforrásuk.

Megvizsgáltunk egy-két ebbe a „tudatos” kategóriá-ba sorolható magyarországi támadót. Az IP számhoztartozó, úgynevezett RIPE bejegyzés alapján fix címûkábelnetes és változó címû, ám egy ADSL-poolba (tar-tományba) tartozó címekrôl volt szó.

Ezek nem nagyvállalatok által bérelt IP-tartomá-nyokból jöttek, és a sávszélességüknek is csak kis há-nyadát használták a DHA-ra. A sávszélesség kis részeis elegendô volt azonban napi 5-6 ezer levél küldésére,ami körülbelül 500 levél/óra sebességet feltételez. Többtudatos támadó között a támadás idôpontját illetôen ál-talában nincs kapcsolat, ez látható a 3. ábrán (jelentô-sége fôként a többi ábrával összevetve érthetô meg.)

A vírusokkal fertôzött, így a vírus által támadó gé-pek és a trójaiakon keresztül távirányított gépek (ún.zombie-k) levélküldési sebessége kategorizálásunk sze-rint nagyon ingadozó (4. ábra).

Ennek egyik oka, hogy nagyon elter-jedtek, valamint hogy hatalmas mennyi-ségû zombie-gép áll a támadók rendel-kezésére, amelyek sávszélességei elégváltozóak. A támadó nagy mennyiségûgépet irányít, ezeket úgy próbálja megfelhasználni, hogy igyekszik jól kiaknáz-ni azok erôforrásait, ugyanakkor a tá-madás a lehetô legnagyobb mértékbenelosztott legyen.

A támadás viszonylag szabályos idô-közönkénti felbukkanása védett rendsze-rünkben belsô idôzítô, illetve koordiná-ció meglétét sugallja. Az idôzítés alap-ján feltételezhetô, hogy azonos vírusokazonos idôpontban indíthatnak táma-dást a rendszer ellen. Ezt szemlélteti akövetkezô oldali 5. ábra.

DHA támadás elleni védekezés

LXI. ÉVFOLYAM 2006/5 7

2. ábra Tudatos támadók jel lemzô viselkedése

4. ábra Több vírussal fertôzött gép, mint támadók jellemzô viselkedése egymáshoz képest

3. ábra Egy tudatos támadó napi statisztikája

A másik oka a levélküldési sebesség ingadozásá-nak az a cél, hogy jelenlétük rejtve maradjon a tulajdo-nos gépén, így célszerûen ne zavarja a rendes munká-ja során a felhasználót, hanem az amúgy is rengetegszabadidôben használjon mind számítási, mind hálóza-ti erôforrásokat. Egy feltehetôleg vírussal fertôzött gépnapi támadási statisztikáját mutatja a 6. ábra, ahol jóllátszik az ingadozó levél küldési sebesség.

A trójain keresztül távirányított gépek is fôleg nap-közben aktívak, azonban a távirányító ismeretlen, ezértnem tudni milyen idôzónában tartózkodik, így a távirá-nyított gépek idôzónáinak összevetése nem sok infor-mációval szolgálhatna. Mivel az azonos idôzónában le-

vô gépek nagy valószínûséggelegyszerre aktívak, ezért nem cél-szerû a támadóknak teljesen másidôzónában levô gépeket irányí-tani. Egy támadó feltételezhetô ak-tivitását a zombie-gépein szemlél-teti a 7. ábra.

Eddig a trójaiak egy nagyonkezdô szintû felhasználásáról voltszó, sajnos azonban ezen a terü-leten is vannak professzionális tá-madók, akik az általuk irányítottzombie-számítógépeket nagyfokú,jól kialakított koordinációs rend-szeren keresztül mûködtetik, amitaz irodalomban többnyire „botnet”-nek, azaz robotok hálózatánakhívnak. Ez a támadási módszerlehetôvé teszi a támadóknak, hogyegyszerre ne csak egy trójait irá-nyítsanak, hanem rengetegnek ad-

janak parancsot, ez tehát egy al-ternatív megoldás egy elosztottDHA támadás indítására az idô-koordinációs módszer mellett.

Távirányított elosztott DHA-rajó példa a rendszerünket ért egyiknagy arányú támadás, ami a 8.ábrán látható. Az azt megelôzô, il-letve rákövetkezô órákban átlago-san 1000 támadó szándékú levélérkezett, míg aztán 3 órakor hirte-len majdnem 9000! A támadásokvizsgálatához a rendszerünk szû-rési funkcióját kiiktattuk, hogy azne befolyásolja a megfigyelés fo-lyamatát (a támadó ne észlelje le-velei szûrését). A támadók jellem-zôinek összefoglalását láthatjuk az1. táblázatban.

HÍRADÁSTECHNIKA

8 LXI. ÉVFOLYAM 2006/5

5. ábra Ugyanazon támadó 3 különbözô órában mutatott aktivitása

6. ábra Vírussal fertôzött gép támadásának napi statisztikája

7. ábra Trójaival fertôzött,

távirányított támadók jel lemzô viselkedése

8. Összefoglalás

A cikkben megvizsgáltuk a DHA támadásokat, melyekbrute-force jellegû támadások egy levelezô-szerver ál-tal karbantartott e-mail címek kinyerésére. Számba vet-tük a lehetséges védekezési technikákat és javasol-tunk egy új megoldást a támadások kiszûrésére.

A javasolt megoldásnál a rendszerünk a hálózategyéb résztvevôivel együttmûködve védekezik a DHAtámadás ellen, úgy hogy az egyes e-mail kiszolgálókegy központi szerver által karbantartott RBL-listát tölte-nek fel feltételezett támadókról, valamint ezt a listát kér-dezik le új kapcsolatfelépítés engedélyezése elôtt.Ezek figyelembevételével bemutattuk az általunk kiala-kított komponensekbôl felépülô védelmi mechanizmust,és elemeztük azt.

A rendszerünk felépítése a következô: egyrészt állegy rendszernapló elemzôbôl és egy SMTP szervere-ken mûködô szûrô komponensbôl. Másik része egyszerver alkalmazás, ami a szûrôk által szolgáltatotteredményeket központi nyilvántartásban összegzi, az-az nyilvántartja azokat a gépeket, amelyek DHA táma-dásban érintettek. A rendszer által szolgáltatott adato-kat alapul véve csoportosítottuk a támadókat és afenyegetettségeket, amit a levelezô szerverekre jelen-tenek.

Irodalom

[1] J. Klensin: Simple Mail Transfer Protocol 2001, RFC 2821.

[2] Jaeyon Jung, Emil Sit: An Emprical Study of Spam Traffic and the Use of DNS Black Lists 2004.

[3] Jaeyon Jung, Emil Sit, Hari Balakrishnan, Robert Morris: DNS performance and the effectivenessof caching IEEE/ACM Transactions on Networking,10(5), October 2002.

[4] Bencsáth Boldizsár, Vajda István: Ados frontend2005. január

[5] Joshua Goodman: IP Addresses in Email Clients,Microsoft Research, Redmond, WA 98052.

[6] Terri Oda, Tony White: Developing an Immunity toSpam, Carleton University

[7] Open Relay Database, http://www.ordb.org[8] Distributed Sender Blackhole List, http://dsbl.org[9] Mailinator,

http://www.mailinator.com/mailinator/index.jsp[10] The Apache SpamAssassin Project,

http://spamassassin.apache.org/[11] Clam AntiVirus, http://www.clamav.net/[12] Vipul’s Razor, http://razor.sourceforge.net/[13] Distributed Checksum Clearinghouse,

http://www.rhyolite.com/anti-spam/dcc/[14] Styx Mail Filter – vállalati levelezôszerverek védelmére

kifejlesztett integrált hardver- és szoftver megoldás, http://www.albacomp.hu/sajtokozlemeny.asp?szam=25 (2005. január)

[15] eSafe Advanced Anti-spamSoftware, ftp://ftp.ealaddin.com/pub/Marketing/eSafe/White\_paper%/WP\_eSafe_Anti\_Spam/esafe\_antispam\_whitepaper.pdf

[16] Kerio MailServer, http://www.kerio.com/kms\_antispam.html

[17] Secluda Inboxmaster,http://press.arrivenet.com/tec/article.php/308157.html

[18] VIRUSFLAGS (a rendszer mûködô prototípusa),http://www.virusflags.org

DHA támadás elleni védekezés

LXI. ÉVFOLYAM 2006/5 9

1. táblázat A támadók lehetséges besorolása és jel lemzôik

8. ábra DHA eredménye egyik rendszerünk el len