Internet Bad Neighborhoods: the Spam Case Más vizinhaças da Internet: o caso do Spam Moura, G. C. M.; Sadre, R.; Pras, A University of Twente Apresentado por: Fernando Cezar Bernardelli CNSM 2011
Objetivo geral 1. Quais são os blocos menos protegidos da Internet? 2. Quais são os servidores mais tolerantes ao Spam? 3. Más vizinhanças com muitos Spammers enviam muitos Spams? 4. Quanta informação precisamos para identificar uma vizinhança de spammers?
Roteiro Introdução Origem dos dados Classificação das BadHoods Trabalhos relacionados Coleta e análise dos dados Conclusão Análise crítica
O que é, de onde vem?
“[...]comunicação não solicitada para propósitos de marketing direto”
BadHoods
Low Volume Spammers Baixa atividade por nó Muitos nós na rede
High Volume Spammer
Identificando LVS e HVS θ = d × s × m d = dias coletados s = número de fontes de tráfego m = número de mensagens de um LVS
Origem dos dados DNS Blacklists Logs de servidores de Logs de clientes de Fluxo de rede
Origem dos dados DNS Blacklists Logs de servidores de Logs de clientes de Fluxo de rede
Trabalhos relacionados Ramachandran et al. - Understanding the network level behavior of spammers (2006) Van Wanrooij e Pras - Filtering spam from Bad Neighborhoods (2010) Pathak, Hu e Mao - Peeking into spammer behavior from a Unique vantage point (2008) Kreibich et al. - On the spam campaign trail (2008)
Enough talking NUMBERS
DNS Blacklists Composite Block List (CBL) Passive Spam Block List (PSBL) UCEPROTECT Spamhaus Block List (SBL) ListaEntradas (21/04/2010) ≅ 8.3 milhões ≅ 2.45 milhões ≅ 3 milhões ≅ 10 mil
Mail Server Logs Dados captados em uma semana (19/04/2010 a 26/04/2010)
Mail client logs 15 s em vários países 1321 spams 763 spammers
Limite LVS θ = d × s × m d = 7 s = 4 m = 2 θ = 7 × 4 × 2 = 56 por IP
Tabulação dos dados X = número de mensagens por spammer 99.2% LVS80.95% do spam
Tabulação dos dados X = número de mensagens por IP
Quais são os blocos menos protegidos da Internet? Quais são os servidores mais tolerantes ao Spam? Más vizinhanças com muitos Spammers enviam muitos Spams? Quanta informação precisamos para identificar uma vizinhança de spammers?
Quais são os blocos menos protegidos da Internet? Quais são os servidores mais tolerantes ao Spam? Más vizinhanças com muitos Spammers enviam muitos Spams? Quanta informação precisamos para identificar uma vizinhança de spammers?
Quais são os blocos menos protegidos da Internet? Quais são os servidores mais tolerantes ao Spam? Más vizinhanças com muitos Spammers enviam muitos Spams? Quanta informação precisamos para identificar uma vizinhança de spammers?
Quais são os blocos menos protegidos da Internet? Quais são os servidores mais tolerantes ao Spam? Más vizinhanças com muitos Spammers enviam muitos Spams? Quanta informação precisamos para identificar uma vizinhança de spammers?
Fontes usadas Logs de servidores de Blacklists BadhoodsEntradas
Quais são os blocos menos protegidos da Internet? Quais são os servidores mais tolerantes ao Spam? Más vizinhanças com muitos Spammers enviam muitos Spams? Quanta informação precisamos para identificar uma vizinhança de spammers?
Conclusão LVS’s mostram quais blocos negligenciam mais a segurança Os servidores mais tolerantes ao spam estão na África e na Ásia O poder de fogo dos HVS’s é maior que dos LVS’s É possível identificar BadHoods apenas com logs de s
Análise crítica Artigo muito bem escrito e bem embasado Dados encontrados são úteis para ISP’s Período analisado é muito curto (1 semana) Organização das figuras no trabalho poderia ser melhor Gráficos são confusos a primeira vista Números referentes às blacklists não fecham
Perguntas?