Upload
sal
View
21
Download
0
Embed Size (px)
DESCRIPTION
Internet Bad Neighborhoods: the Spam Case Más vizinhaças da Internet: o caso do Spam. Moura, G. C. M.; Sadre, R.; Pras, A University of Twente. CNSM 2011. Apresentado por: Fernando Cezar Bernardelli. Objetivo geral. Quais são os blocos menos protegidos da Internet? - PowerPoint PPT Presentation
Citation preview
Internet Bad Neighborhoods: the Spam CaseMás vizinhaças da Internet: o caso do Spam
Moura, G. C. M.; Sadre, R.; Pras, AUniversity of Twente
Apresentado por: Fernando Cezar Bernardelli
CNSM 2011
Objetivo geral1.Quais são os blocos menos protegidos da
Internet?
2.Quais são os servidores mais tolerantes ao Spam?
3.Más vizinhanças com muitos Spammers enviam muitos Spams?
4.Quanta informação precisamos para identificar uma vizinhança de spammers?
Roteiro• Introdução
• Origem dos dados
• Classificação das BadHoods
• Trabalhos relacionados
• Coleta e análise dos dados
• Conclusão
• Análise crítica
O que é, de onde vem?
O que é, de onde vem?
“[...]comunicação não solicitada para propósitos de marketing direto”
BadHoods
Low Volume SpammersBaixa atividade por nó
Muitos nós na rede
High Volume Spammer
Identificando LVS e HVS
θ = d × s × m
d = dias coletadoss = número de fontes de tráfego
m = número de mensagens de um LVS
Origem dos dados
•DNS Blacklists
•Logs de servidores de e-mail
•Logs de clientes de e-mail
•Fluxo de rede
Origem dos dados
•DNS Blacklists
•Logs de servidores de e-mail
•Logs de clientes de e-mail
•Fluxo de rede
Trabalhos relacionados• Ramachandran et al. - Understanding the
network level behavior of spammers (2006)
• Van Wanrooij e Pras - Filtering spam from Bad Neighborhoods (2010)
• Pathak, Hu e Mao - Peeking into spammer behavior from a Unique vantage point (2008)
• Kreibich et al. - On the spam campaign trail (2008)
Enough talking
NUMBERS
DNS Blacklists
Composite Block List (CBL)
Passive Spam Block List (PSBL)
UCEPROTECT
Spamhaus Block List (SBL)
Lista Entradas (21/04/2010)
≅8.3 milhões
≅ 2.45 milhões
≅ 3 milhões
≅ 10 mil
Mail Server LogsDados captados em uma semana (19/04/2010 a
26/04/2010)
Mail client logs15 e-mails em vários países
1321 spams
763 spammers
Limite LVSθ = d × s × m
d = 7
s = 4
m = 2
θ = 7 × 4 × 2 = 56 por IP
Tabulação dos dados
X = número de mensagens por spammer
99.2% LVS 80.95% do spam
Tabulação dos dados
X = número de mensagens por IP
Quais são os blocos menos protegidos da Internet?
Quais são os servidores mais tolerantes ao Spam?
Más vizinhanças com muitos Spammers enviam muitos Spams?
Quanta informação precisamos para identificar uma vizinhança de spammers?
Quais são os blocos menos protegidos da Internet?
Quais são os servidores mais tolerantes ao Spam?
Más vizinhanças com muitos Spammers enviam muitos Spams?
Quanta informação precisamos para identificar uma vizinhança de spammers?
Quais são os blocos menos protegidos da Internet?
Quais são os servidores mais tolerantes ao Spam?
Más vizinhanças com muitos Spammers enviam muitos Spams?
Quanta informação precisamos para identificar uma vizinhança de spammers?
Quais são os blocos menos protegidos da Internet?
Quais são os servidores mais tolerantes ao Spam?
Más vizinhanças com muitos Spammers enviam muitos Spams?
Quanta informação precisamos para identificar uma vizinhança de spammers?
Fontes usadas
Logs de servidores de e-mail
Blacklists
571.389
1.205.932
634.543115.000.000
8.700.00
BadhoodsEntradas
Quais são os blocos menos protegidos da Internet?
Quais são os servidores mais tolerantes ao Spam?
Más vizinhanças com muitos Spammers enviam muitos Spams?
Quanta informação precisamos para identificar uma vizinhança de spammers?
Conclusão•LVS’s mostram quais blocos
negligenciam mais a segurança
•Os servidores mais tolerantes ao spam estão na África e na Ásia
•O poder de fogo dos HVS’s é maior que dos LVS’s
•É possível identificar BadHoods apenas com logs de emails
Análise crítica• Artigo muito bem escrito e bem embasado
• Dados encontrados são úteis para ISP’s
• Período analisado é muito curto (1 semana)
• Organização das figuras no trabalho poderia ser melhor
• Gráficos são confusos a primeira vista
• Números referentes às blacklists não fecham
Perguntas?