Pfeil- und Text-Symbol

Die McColo-Geschichte aus der Spam-Perspektive

Graphen NixSpam

Am Dienstag, den 11.11.2008 wurde das US-amerikanische Unternehmen McColo (AS26780) vom Internet getrennt. McColo ist bekannt für seine fragwürdigen Aktivitäten - manche Quellen sprechen davon, dass McColo für bis zu drei Viertel des gesamten Spamversands im Internet verantwortlich sei. Diese Aktivitäten wurden mit dem Abschalten plötzlich eingestellt. Christian J. Dietrich hat dies unter anderem an einem Blacklist-Slave der NiX-Spam-Blacklist untersucht. Seit Dienstagabend etwa 22:00 Uhr CET liegt die Gesamtanzahl an Anfragen an die Blacklist deutlich unter den Werten der vorherigen Tage. Der Traffic, der durch die Abfragen verursacht wird hat sich sogar im Vergleich zu Spitzenzeiten innerhalb eines Tages nahezu halbiert.

Post McColo - DDoS und erstmals wieder mehr Spam

Graphen NixSpam Queries

Nachdem am 11.11.2008 das Unternehmen McColo (AS26780) vom Internet getrennt wurde, war das globale Spam-Aufkommen über 10 Tage hinweg konstant mehr als halbiert. Das verminderte Spam-Aufkommen, das am 21.11.2008 sogar zu einem Jahrestief herabsank, ist durch die Unterbindung von Command&Control-Kanälen einiger Botnetze im Netz von McColo begründet.

Am 15.11.2008 beobachteten die Mitarbeiter Christian Rossow und Christian J. Dietrich, dass McColo 4 Tage nach dem Abtrennen durch die bisherigen Peering-Partner kurzzeitig durch andere Autonome Systeme (TeliaNet Global Network, AS 1299) angebunden wurde. Dies hatte zur Konsequenz, dass die C&C-Server wieder von den Bots erreichbar waren und so eine Umkonfiguration der Bots auf neue IP-Adressen theoretisch möglich war. So konnten noch kürzlich am 21.11.2008 Distributed Denial of Service (DDoS)-Angriffe auf den deutschen Hoster InternetX mit mehr als 40.000 Bots und 800.000 Paketen pro Sekunde und einer Gesamtbandbreite von zeitweise 20 GBit/s beobachtet werden, die sich der Bots bedient haben könnten. Eine genaue Zuordnung, ob die am Angriff teilnehmenden Bots tatsächlich aus den abgetrennten Botnetzen stammen, ist jedoch schwierig. Trotz der DDoS-Attacke blieb seit dem erstmaligen Abtrennen von McColo das Spam-Aufkommen vom 12.11.2008 an über 10 Tage konstant auf niedrigem Niveau, weist jedoch am 21.11.2008 ein deutliches Minimum auf.

Nun kann seit dem 25.11.2008 wieder beobachtet werden, dass die globale Anzahl an Spam-Nachrichten wieder stark zunimmt und sich dem ehemaligen hohen Niveau annähert. Dieses Niveau wird gemessen an den Abfragen an unseren NiX Spam-Slave, die wie beschrieben wieder stark zunehmen. Wie den Slave-Messungen in der Grafik zu entnehmen ist, ist leider ein Ende des niedrigen Spamniveaus absehbar.

McColo (AS26780) Anbindung ausschnittweise mit Hilfe von bgplay

Abschnittweise haben wir mit Hilfe von bgplay die Routen zu McColo (AS26780) überwacht.

Mccolo_001
Mccolo_002
Mccolo_003
Mccolo_004

Forschungsthemen für E-Mail

Im Forschungsbereich E-Mail-Verlässlichkeit forschen wir rund um die Sicherheit im Kontext von E-Mail. Hierzu zählen insbesondere die Bedrohung durch Spam. Wir führen regelmäßig Umfragen durch, die die aktuelle Bedrohungslage durch Spam und Viren erfassen. Die Ergebnisse sind im Unterbereich Umfragen abrufbar. Eine ausführliche Übersicht aller Ergebnisse dieser Untersuchung finden sie im PDF-Dokument.

Wichtige Themen, die wir behandeln sind darüber hinaus die Analyse der E-Mail-Infrastruktur im Internet, die Analyse des weit-verbreiteten Antispam-Verfahrens Blacklisting sowie das Sammeln von E-Mail-Adressen auf Webseiten, das sog. Harvesting.

Mehr über...
-> Blacklists
-> E-Mail-Adress-Harvesting
-> Umfragen zur E-Mail-Verlässlichkeit

Die Vorträge der CeBIT 2008 sind verfügbar

Im Rahmen der CeBIT 2008 hat das Team "E-Mail-Verlässlichkeit" mehrere Vorträge gehalten. Die Folien dieser Reden können Sie hier als PDF-Dokumente herunterladen:

Aktuelle Zahlen zu Spam, Viren und Co

Die aktuellen Zahlen zeigen: 80% Spam, 1% Viren und nur noch 19% erwünschte E-Mails aus Sicht eines E-Mail-Systembetreibers
aktuellen Zahlen zeigen: 80% Spam, 1% Viren

Die aktuelle Auswertung der Umfrage zur E-Mail-Verlässlichkeit enthält aktuelle Zahlen zur Anteilsverteilung von Spam, virenbehafteten und erwünschten Mails. Es zeigt sich, dass aus der Perspektive eines E-Mail-Systembetreibers im Durchschnitt rund 80% aller E-Mails Spam, also unerwünschte E-Mails sind. Der Anteil an virenbehafteten Mails ist im Laufe der letzten 2 Jahre jedoch deutlich gesunken und liegt zurzeit bei etwa einem Prozent. Erschreckend ist die Tatsache, dass lediglich 19% aller E-Mails erwünscht sind.

Überschneidung zweier Blacklisten
Überschneidung zweier Blacklisten

DNS-Blacklist Matrix

In einer Untersuchung 2007 hat das if(is) festgestellt, dass sich verschiedene DNS-basierte IP-Adress-Blacklisten untereinander gleichen. Eine umfassende Analyse dessen hat Christian Rossow in seiner Bachelor-Abschlussarbeit vorgenommen. Administratoren von Mailservern können Spam durch den gezielten Einsatz von Blacklisten zu großen Teilen abwehren. Die folgende Tabelle macht deutlich, zu welchem prozentualen Anteil die Menge der IP-Adressen von Blacklist A (Zeile) von Blacklist B (Spalte) abgedeckt wird.

Überschneidungsmatrix der bekannten DNSBLs
Überschneidungsmatrix der bekannten DNSBLs

DNS-Cache Beobachtung

Graphen DNS Cache

Am 8. September 2006 wurde die IP-Adresse unseres Webservers www.internet-sicherheit.de umgestellt. Wir nutzten die Gelegenheit, um das Caching von DNS-Antworten diverser Internet Service Provider (ISP) in Deutschland zu untersuchen. Dabei ist keinesfalls eine repräsentative Untersuchung herausgekommen, es werden lediglich oberflächlich die Probleme gezeigt, die DNS-Caching mit sich bringen kann.

Jeder Internetuser, der bereits einen Wechsel des Webhosters, z.B. einen Webseitenumzug, mitgemacht hat, kennt das Problem: Die IP-Adresse, die hinter dem Domain-Namen steckt wird im Domain Name System (DNS) geändert und für eine gewisse Übergangszeit gibt es mitunter merkwürdige Resultate wenn man die Webseite aufruft. Hierunter fällt beispielsweise, dass man auf DNS-Anfragen zur entsprechenden Domain zeitweise die "alte" IP-Adresse als Antwort, zu anderen Zeitpunkten jedoch die "neue" IP-Adresse vom DNS-Server erhält. Der Umstand, dass nicht jeder DNS-Server nach der Änderung der DNS-Konfiguration die aktuellen Daten zurückliefert, liegt im sogenannten Caching, wobei DNS-Antworten zwischengespeichert werden. DNS-Caching ist die übliche Vorgehensweise im Internet, welche dazu dient, DNS-Abfragen leistungsfähiger zu machen.

E-Mail Verlässlichkeit

E-Mail ist einer der am weitesten verbreiteten und meist genutzten Dienste des Internet. Obwohl es nicht als verlässlicher Dienst entworfen wurde, dient es heutzutage zur einfachen, nachrichtenbasierten (meist) zuverlässigen Kommunikation im Internet.
Seit einigen Jahren jedoch setzen insbesondere Spam und Viren, aber auch andere Schwachstellen dem Medium E-Mail zu, sodass zur Zeit fraglich ist, ob E-Mail in der nahen Zukunft noch genau so einfach und produktiv wie im Moment eingesetzt werden kann.

Um das Gefahrenpotential für E-Mail einschätzen zu können, werden wir eine Umfrage durchführen, die die Bedrohungslage durch Spam und Viren erfasst. Mit Hilfe der Frageaktion wird zunächst geklärt, welche Art von Information und mit welcher Bedeutung für die Kommunikationspartner zur Zeit im Internet über E-Mail ausgetauscht werden. Des Weiteren muss in Erfahrung gebracht werden, in wie weit die E-Mail-Kommunikation bereits eingeschränkt ist und welche Mechanismen sich in der Praxis bisher als einsatzfähig erwiesen haben.

Diese Umfrage bildet weiterhin die Basis für eine Evaluierung von Anti-Spam-Maßnahmen. Hier gilt es insbesondere die zahlreichen und zumeist komplizierten Möglichkeiten der Spamabwehr auf Praxistauglichkeit zu überprüfen.

Die CeBIT-Präsentation "Spam-Situation: Ergebnisse einer Umfrage" steht zum Download verfügbar

Im Rahmen der CeBIT 2005 hat Christian Dietrich im CeFIS-Forum eine Präsentation mit dem Titel "Spam-Situation: Ergebnisse einer Umfrage" gehalten.

Zum Seitenanfang springen