« SCO Board Member fliehen... | Main | Helix: Knoppix Variante für Computer Forensik »

27.11.04

Lycos Screensaver attackiert "spamvertized" Domains

Der DDoS [1] Angriff scheint der Spielzeugkiste der Skript-Kiddies zu entwachsen: The Register berichtet über einen neuen Bildschimschoner von Lycos, der sogenannte spamvertised Domains [2]- vorsichtig ausgedrückt - mit sinnlosen Anfragen belästigt. Dadurch sollen die Server, die die Spammer-Webseiten ausliefern, laut Lycos langsamer aber nicht zum Absturz gebracht werden. Solche Aktionen waren bislang eher übereifrigen Anti-SPAM-Aktivisten zuzurechnen. Die Aktion ziehlt darauf ab, den Spammer am finanziellen Nerv zu treffen, da er für seinen Traffic zahlt. Denn wenn man von 3,4 MB Traffic pro Bildschirmschner und Tag kommt bei einer Installationsbasis von vielleicht einer Million immerhin 33 TB Traffic pro Tag zusammen.

Dieses Vorgehen darf also als zweifelhaft und rechtliche sicher in einer Grauzone einzustufen sein. Denn viele Fragen bleiben offen:

  1. Den Traffic zahlt der Kunde. Wenn keine Flatrate vorhanden ist, zahlt er ihn ganz direkt. Und Nutzer von Flatrates zahlen ihn indirekt auch. Denn irgendwann muss jeder Carrier und ISP die Peeringkosten oder die Kosten für neue Hardware auf die Endkunden umlegen.
  2. Wie kann sichergestellt werden, dass es nicht unschuldige Webseiten trifft? Die Webseiten werden zwar aus Spamcop entnommen und manuell geprüft. Aber wie soll bitte das Opfer eines Joe-Jobs erkennen werden?
  3. Was passiert mit virtual Hosts, die auf der selben Maschien laufen? Diese sind genauso betroffen wie die spamvertized Seite selbst. - Vielleicht ein Argument nicht bei einem anonymen Massenbetrieb zu hosten sonder bei einem kleinen Hoster, der im Zweifelsfall beherzte Massnahmen ergreift und die Homepage spammender Kunden sofort abklemmt.
  4. Was passiert, wenn die beworbe Seite auf einer gekaperten Maschiene aufgesetzt wird? Der echte Kunde der Maschien zahlt die Zeche und der Spammer lacht sich ins Fäustchen. - Vielleicht endlich mal ein Argument seine Maschinen durch einen echten Admin verwalten zu lassen und nicht nur irgendwo eine unüberwachten und ungepflegten Root-Server rumstehen zu lassen.

Dabei gibt es wirklich sinnvolle Maßnahmen gegen Spammer. Hier eine kleine Auswahl, was man wirklich tun kann:

  1. Die erste und wichtigste Maßnahem ist, endlich keine Mails mehr von Dialup-Hosts [3] anzunehmen. Die meisten SPAM-Mails stammen von botgesteuerten Windowsmaschinen, die keinesfalls direkte Mails versenden dürfen. Das hilft gleichzeitig gegen aktuelle Viren, die alle eine eigene SMTP-Engine mit sich rumschleppen.
  2. Ganz uneinsichtige Netzwerke, die sich nicht um die Probleme, die Ihre Kunden verursachen, einfach für Mail mit einer entsprechenden Meldung blockieren oder sogar komplett nullrouten.
  3. Fleißig Abuse-Mails schreiben. Das macht zwar nicht immer Sinn, aber bei vielen ISPs und Hostern der spamvertized Domains greift inzwischen die Erkentniss, dass Blacklists, Nullrouten, etc. nicht gut für das eigene Geschäft sind.
  4. Weiterhin sollte man von kaputt konfigurierten Mailserver (fehlender Reverse-Lookup [4], kaputte HELOs, etc.) nicht mehr annehmen und Mailadministratoren auf Ihre Fehler hinweisen. Viele Spammer können eben keine saubere Konfiguration sicherstellen.
  5. Wenn man direkt etwas gegen Spammer tun will ist Bestellen besser als ein DDoS: Einige Tausend zufällige Bestellungen lassen den Server nicht abstürzen (Unbeteiligte bleiben ungeschadet) aber es stört die Logistik des Spammers nachhaltig. Wie soll er aus tausenden Bestellungen die "echten" rausfiltern?

[via Slashdot]

Erläuterungen
[1] DDoS steht für Distributed Denial of Service. Bei eine Denial of Service (DoS) Angriff wird ein Server mit so vielen Anfragen zugemüllt, dass er dadurch nicht mehr erreichbar ist oder sogar abstürzt. Da ein Server meistens über eine höhere Bandbreite verfügt als ein Angreifer wird der Angriff auf möglichst viele Angreifer verteilt. Man spricht dann von einem Distributed (verteiltem) Denial of Service (DDoS).
[2] Unter spamvertized Domains versteht man Domains, die in SPAM-Mails beworben werden. Bei Vergleichen auf diese Domains wird häufig nur die Hauptdomain herangezogen um die Nutzung beliebiger Subdomains gleich mit zu erschlagen.
[3] Dialup-Hosts sind Rechner, die im Internet mit dynamischen IP-Adressen unterwegs sind. Bei den meisten klassischen Angeboten bekommt der Kunde keine feste(n) IP-Adresse(n) sondern nur dynamisch eine aus einem Einwahl-Pool zugewiesen. Dadurch ist der Kunde nur durch Hilfe seines Zugangsanbieters zu ermitteln, da nur dieser weiß, wer sich wann eingewählt und welche IP bekommen hat.
[4] Mit Reverse-Loopkup wird ein DNS-Eintrag bezeichnet, durch den der Hostname zu einer IP-Adresse ermittelt werden kann. Die technisch korrekte Bezeichnung ist ein PTR record in in.addr-arpa. Weitere Informationen zum Thema fehlende Reverse-Lookups führen zu Problemen beim Mailversand.

Posted by xut at 27.11.04 09:59

Trackback Pings

TrackBack URL for this entry:
http://www.theofel.de/mt-cgi/mt-tb.cgi/159

Comments

Post a comment




Remember Me?

(you may use HTML tags for style)


Site Meter