Internet Bad Neighborhoods: the Spam CaseMás vizinhaças da Internet: o caso do Spam

Moura, G. C. M.; Sadre, R.; Pras, AUniversity of Twente

Apresentado por: Fernando Cezar Bernardelli

CNSM 2011

Objetivo geral1.Quais são os blocos menos protegidos da

Internet?

2.Quais são os servidores mais tolerantes ao Spam?

3.Más vizinhanças com muitos Spammers enviam muitos Spams?

4.Quanta informação precisamos para identificar uma vizinhança de spammers?

Roteiro• Introdução

• Origem dos dados

• Classificação das BadHoods

• Trabalhos relacionados

• Coleta e análise dos dados

• Conclusão

• Análise crítica

O que é, de onde vem?

O que é, de onde vem?

“[...]comunicação não solicitada para propósitos de marketing direto”

BadHoods

Low Volume SpammersBaixa atividade por nó

Muitos nós na rede

High Volume Spammer

Identificando LVS e HVS

θ = d × s × m

d = dias coletadoss = número de fontes de tráfego

m = número de mensagens de um LVS

Origem dos dados

•DNS Blacklists

•Logs de servidores de e-mail

•Logs de clientes de e-mail

•Fluxo de rede

Origem dos dados

•DNS Blacklists

•Logs de servidores de e-mail

•Logs de clientes de e-mail

•Fluxo de rede

Trabalhos relacionados• Ramachandran et al. - Understanding the

network level behavior of spammers (2006)

• Van Wanrooij e Pras - Filtering spam from Bad Neighborhoods (2010)

• Pathak, Hu e Mao - Peeking into spammer behavior from a Unique vantage point (2008)

• Kreibich et al. - On the spam campaign trail (2008)

Enough talking

NUMBERS

DNS Blacklists

Composite Block List (CBL)

Passive Spam Block List (PSBL)

UCEPROTECT

Spamhaus Block List (SBL)

Lista Entradas (21/04/2010)

≅8.3 milhões

≅ 2.45 milhões

≅ 3 milhões

≅ 10 mil

Mail Server LogsDados captados em uma semana (19/04/2010 a

26/04/2010)

Mail client logs15 e-mails em vários países

1321 spams

763 spammers

Limite LVSθ = d × s × m

d = 7

s = 4

m = 2

θ = 7 × 4 × 2 = 56 por IP

Tabulação dos dados

X = número de mensagens por spammer

99.2% LVS 80.95% do spam

Tabulação dos dados

X = número de mensagens por IP

Quais são os blocos menos protegidos da Internet?

Quais são os servidores mais tolerantes ao Spam?

Más vizinhanças com muitos Spammers enviam muitos Spams?

Quanta informação precisamos para identificar uma vizinhança de spammers?

Quais são os blocos menos protegidos da Internet?

Quais são os servidores mais tolerantes ao Spam?

Más vizinhanças com muitos Spammers enviam muitos Spams?

Quanta informação precisamos para identificar uma vizinhança de spammers?

Quais são os blocos menos protegidos da Internet?

Quais são os servidores mais tolerantes ao Spam?

Más vizinhanças com muitos Spammers enviam muitos Spams?

Quanta informação precisamos para identificar uma vizinhança de spammers?

Quais são os blocos menos protegidos da Internet?

Quais são os servidores mais tolerantes ao Spam?

Más vizinhanças com muitos Spammers enviam muitos Spams?

Quanta informação precisamos para identificar uma vizinhança de spammers?

Fontes usadas

Logs de servidores de e-mail

Blacklists

571.389

1.205.932

634.543115.000.000

8.700.00

BadhoodsEntradas

Quais são os blocos menos protegidos da Internet?

Quais são os servidores mais tolerantes ao Spam?

Más vizinhanças com muitos Spammers enviam muitos Spams?

Quanta informação precisamos para identificar uma vizinhança de spammers?

Conclusão•LVS’s mostram quais blocos

negligenciam mais a segurança

•Os servidores mais tolerantes ao spam estão na África e na Ásia

•O poder de fogo dos HVS’s é maior que dos LVS’s

•É possível identificar BadHoods apenas com logs de emails

Análise crítica• Artigo muito bem escrito e bem embasado

• Dados encontrados são úteis para ISP’s

• Período analisado é muito curto (1 semana)

• Organização das figuras no trabalho poderia ser melhor

• Gráficos são confusos a primeira vista

• Números referentes às blacklists não fecham

Perguntas?