slider

Ausgefragt – Blacklist-Nutzung zeigt Internet-Missbrauch in Echtzeit - Prof. Dr. Norbert Pohlmann

Ausgefragt – Blacklist-Nutzung zeigt Internet-Missbrauch in Echtzeit

222-Ausgefragt-Blacklist-Nutzung-zeigt-Internet-Missbrauch-in-Echtzeit-Prof.-Norbert-Pohlmann

C. Dietrich, S. Ganschow, N. Pohlmann:,
“Ausgefragt – Blacklist-Nutzung zeigt Internet-Missbrauch in Echtzeit”,
iX – Magazin für professionelle Informationstechnik,
Heise-Verlag,
05/2008

Anti-Spam-Blacklists erhalten zum Teil viele Tausend DNS-Abfragen pro Sekunde, die sich direkt auf den weltweiten E-Mail-Verkehr beziehen. Betreiber von DNSBLServern haben damit einen guten Blick auf das Geschehen – müssen dafür aber regelrechte Datengebirge bezwingen.

IP-Blacklisting ist ein wichtiger Schutzmechanismus im Kampf gegen Internet-Missbrauch, vor allem Spam. Eine Reihe von Blacklists lässt
sich kostenlos über das Internet nutzen. Üblicherweise kommt das DNS-Protokoll für deren Abfrage zum Einsatz (DNSBL). Außer dem eigentlichen Inhalt der Blacklists, also den SpamQuellen in Form von IP-Adressen,
sind auch die Abfragen ein interessantes Analyseobjekt – sowohl die abfragenden Hosts als auch die abgefragten Adressen betreffend.
Wer Zugriff auf die Abfragedaten hat, kann unter anderem den Anteil des
Inhalts einer Blacklist bestimmen, der überhaupt abgefragt wird. Darüber
hinaus kann man die Menge an positiven Antworten, also Treffern auf der
Blacklist, ins Verhältnis setzen zu allen Anfragen („Trefferquote“ oder „Hit
Rate“). Ferner lässt sich bestimmen, wie sich etwa das Spam-Aufkommen
entwickelt oder welche Nutzerzahl die Blacklist hat – allesamt wichtige Eckdaten für Wirksamkeitsbetrachtungen und Optimierungen.
In einem Zeitraum von fast einem halben Jahr wurden die Anfragen an
zwei öffentliche Blacklists untersucht, darunter die vom Projekt „NiX Spam“
der iX. Sie umfasste zu Beginn der Untersuchung im Juli 2007 etwa 78 000
IP-Adressen aus 166 Ländern, zum Ende (Januar 2008) bereits über 400 000
Adressen. Zum Vergleich diente die „Blackholes“-Liste (www.five-ten-sg.
com). Für beide betreiben die Autoren DNS-Slave-Server, sodass sie einen repräsentativen Ausschnitt aus den Anfragen an die Blacklists „mitschneiden“ können.

Sklavenbetreiber lesen mit
Die NiX-Spam-Liste verfügte am Ende des Erfassungszeitraums über zehn
DNS-Server, von denen zwei während der Messungen hinzukamen. Mit jedem hinzukommenden Server sollte die Anzahl der Anfragen pro Server zumindest vorübergehend abnehmen. Die Anzahl der Anfragen stieg jedoch praktisch über den gesamten Messzeitraum hinweg unbeirrt: Zu Beginn lag die Zahl der Requests pro Tag bei rund 5,5 Mio. Zuletzt liefen täglich etwa 9,5 Mio. Anfragen auf. Die Trendlinie deutet an, dass von einem weiteren Anstieg auszugehen ist. Während die abgefragten IP-Adressen zeigen, wo Spam und erwünschte E-Mails herkommen, enthalten die Adressen der Abfragenden selbst Hinweise darauf, wer die Nutzer der Blacklist sind. Bei NiX Spam sind es pro Tag etwa 10 000 verschiedene Adressen und damit schätzungsweise mindestens ebenso viele MailserverBetreiber. Da die vorliegende Messung lediglich an einem Server stattfand, blieben eventuelle weitere Anwender der anderen Server unberücksichtigt.
Da die DNS-Anfragen jedoch per Round Robin praktisch gleichmäßig an
alle Server gehen, dürfte das Ergebnis dennoch realistisch sein.


kostenlos downloaden
222-Ausgefragt-Blacklist-Nutzung-zeigt-Internet-Missbrauch-in-Echtzeit-Prof.-Norbert-Pohlmann
Ausgefragt – Blacklist-Nutzung zeigt Internet-Missbrauch in Echtzeit Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten