Internet Bad Neighborhoods: the Spam Case
Más vizinhaças da Internet: o caso do Spam
Moura, G. C. M.; Sadre, R.; Pras, A
University of Twente
CNSM 2011
Apresentado por: Fernando Cezar Bernardelli
Objetivo geral
1. Quais são os blocos menos protegidos da
Internet?
2. Quais são os servidores mais tolerantes ao
Spam?
3. Más vizinhanças com muitos Spammers
enviam muitos Spams?
4. Quanta informação precisamos para identificar
uma vizinhança de spammers?
•
•
•
•
•
•
•
Roteiro
Introdução
Origem dos dados
Classificação das BadHoods
Trabalhos relacionados
Coleta e análise dos dados
Conclusão
Análise crítica
O que é, de onde
vem?
O que é, de onde
vem?
“[...]comunicação não solicitada para propósitos de marketing direto”
BadHoods
Low Volume
Spammers
Baixa atividade por nó
Muitos nós na rede
High Volume
Spammer
Identificando LVS e
HVS
θ=d×s×m
d = dias coletados
s = número de fontes de tráfego
m = número de mensagens de um LVS
Origem dos dados
• DNS Blacklists
• Logs de servidores de e-mail
• Logs de clientes de e-mail
• Fluxo de rede
Origem dos dados
• DNS Blacklists
• Logs de servidores de e-mail
• Logs de clientes de e-mail
• Fluxo de rede
Trabalhos
relacionados
• Ramachandran et al. - Understanding the
network level behavior of spammers (2006)
•
•
•
Van Wanrooij e Pras - Filtering spam from Bad
Neighborhoods (2010)
Pathak, Hu e Mao - Peeking into spammer
behavior from a Unique vantage point (2008)
Kreibich et al. - On the spam campaign trail
(2008)
Enough talking
NUMBERS
DNS Blacklists
Lista
• Composite Block List (CBL)
• Passive Spam Block List
•
•
(PSBL)
UCEPROTECT
Spamhaus Block List (SBL)
Entradas (21/04/2010)
≅8.3 milhões
≅ 2.45 milhões
≅ 3 milhões
≅ 10 mil
Mail Server Logs
Dados captados em uma semana (19/04/2010 a
26/04/2010)
Mail client logs
15 e-mails em vários países
1321 spams
763 spammers
Limite LVS
θ=d×s×m
d=7
s=4
m=2
θ = 7 × 4 × 2 = 56 por IP
Tabulação dos dados
X = número de mensagens por spammer
99.2% LVS
80.95% do spam
Tabulação dos dados
X = número de mensagens por IP
Quais são os blocos menos protegidos da
Internet?
Quais são os servidores mais tolerantes ao
Spam?
Más vizinhanças com muitos Spammers
enviam muitos Spams?
Quanta informação precisamos para identificar
uma vizinhança de spammers?
Quais são os blocos menos protegidos da
Internet?
Quais são os servidores mais tolerantes ao
Spam?
Más vizinhanças com muitos Spammers
enviam muitos Spams?
Quanta informação precisamos para identificar
uma vizinhança de spammers?
Quais são os blocos menos protegidos da
Internet?
Quais são os servidores mais tolerantes ao
Spam?
Más vizinhanças com muitos Spammers
enviam muitos Spams?
Quanta informação precisamos para identificar
uma vizinhança de spammers?
Quais são os blocos menos protegidos da
Internet?
Quais são os servidores mais tolerantes ao
Spam?
Más vizinhanças com muitos Spammers
enviam muitos Spams?
Quanta informação precisamos para identificar
uma vizinhança de spammers?
Fontes usadas
Logs de servidores de e-mail
Blacklists
Entradas
Badhoods
8.700.00
571.389
115.000.000
634.543
1.205.932
Quais são os blocos menos protegidos da
Internet?
Quais são os servidores mais tolerantes ao
Spam?
Más vizinhanças com muitos Spammers
enviam muitos Spams?
Quanta informação precisamos para identificar
uma vizinhança de spammers?
•
•
•
•
Conclusão
LVS’s mostram quais blocos
negligenciam mais a segurança
Os servidores mais tolerantes ao spam
estão na África e na Ásia
O poder de fogo dos HVS’s é maior que
dos LVS’s
É possível identificar BadHoods apenas
com logs de emails
Análise crítica
•
•
•
•
•
•
Artigo muito bem escrito e bem embasado
Dados encontrados são úteis para ISP’s
Período analisado é muito curto (1 semana)
Organização das figuras no trabalho poderia
ser melhor
Gráficos são confusos a primeira vista
Números referentes às blacklists não fecham
Perguntas?
Download

Internet Bad Neighborhoods: the Spam Case