Tarpit

[Illuminatus]

Hi,

wie haltet ihr es eigentlich mit dem Einsatz von Tarpits? Mich würden allgemeine Gedanken und Kritik interessieren. Mir ist klar dass die Unsummen von Scans als das typische Hintergrundrauschen anzusehen sind. DROP und gut. Mir kam lediglich die Frage in den Sinn, was passieren würde wenn plötzlich alle SOHO-Router im Internet per default als Tarpit für unerwartete Pakete von außen fungieren...

 

[KobRheTilla]

Ich kenne Tarpitting eher als Maßnahme NACH dem connect. Also die Verbindung künstlich verlangsamen, sodass z.B. im Fall von SMTP ein Spammer seinen Versuch abbricht, weil ihm der Dialog zu lange dauert. Soetwas, was dir da vorschwebt, gibt es als Tool: portsentry.

Rob

 

[Illuminatus]

Ich meinte eher Tarpit auf Basis von Firewallregeln und nicht mit einem Daemon. Also https://www.netfilter.org/projects/patch-o-matic/pom-external.html#pom-external-TARPIT als Beispiel. Möchte auch gar nicht dass meine Gateways in ihren State-Tables etwas speichern müssen. Habe eine Menge von well-known Ports welche von außen nicht erreichbar sein müssen. Jede IP die sich darauf verbindet ist offenkundlich ein Scanner. Es muss keine Unterscheidung zwischen legitimen und ungewollten Clients auf einem Port erfolgen. LaBrea und spamd sind mir bekannt.

 

[mogbo]

DROP und gut. Mir kam lediglich die Frage in den Sinn, was passieren würde wenn plötzlich alle SOHO-Router im Internet per default als Tarpit für unerwartete Pakete von außen fungieren...

Teste meine Server von außen immer gegen (via nmap) und schaue, dass Standardscans sehr lange dauern oder falsche Informationen abgeben (lässt mich irgendwie ruhiger schlafen).

 

[Rosendoktor]

Ich lasse meinen Linux Router normalerweise mit REJECT antworten statt die Pakete mit DROP wegzuwerfen. Ist aber Ansichtssache und es gibt gute Gründe für beides.

Ein TARPIT hab' ich seit langem auf Port 23 laufen, warum eigentlich weiß ich auch nicht. Wahrscheinlich einfach deswegen weil ich's kann.

Nur als es letztens losging mit den Scans auf den TR-069 Port 7547 habe ich auch den in die Teergrube geschickt. Hat die etwa 20 bis 30 Angreifer pro Stunde jeweils für 3 Minuten festgesetzt. Mehr als ein Tröpfchen auf das heisse Gebirge wird's aber kaum gewesen sein. Aber vielleicht habe ich damit einem mir unbekannten Telekom Kunden wenigstens einen Reboot seines Speedports erspart.

 

[Athaba]

Ist eine Spielerei, aber meist relativ sinnlos. Man verwendet ein paar kleine Ressourcen (FD/memory) um wo anders ein paar kleine Ressourcen zu verbrauchen. Sowas ähnliches nur wo das Skript auf der anderen Seite einen Hauch komplexer sein muss ist sowas wie Greylisting bzw. eben auf's Protokoll achten.

Im Endeffekt erhöht es Komplexität, verbraucht auch bei legitimen E-Mails Ressourcen und wenn ich mir die Realität so ansehe sind neben ein paar Großen die Spammer die einzigen, die anständig konfigurierte Mailer verwenden (mit SPF, etc.). Ist wirklich so. Auf dumme Spammer fällt ohnehin schon seit Ewigkeiten kein Anti-Spam-System rein und dumme Spammer zu tarpitten ist nicht allzu sinnvoll. Das kostet mehr Ressourcen, als sinnvoll ist.

Wenn ich Spam senden würde würde ich wahrscheinlich ziemlich schnell eine Liste von Servern, die ich vermeide haben. Sei es jetzt wg. Tarpits, weil meine Mails gar nicht akzeptiert werden oder ähnliches. Wie gesagt, mittlerweile dürften die meisten Spammer zu gute Systeme haben, als dass sich tarpitting auszahlt. Das trifft jetzt eher die Leute, die sich selbst gerade den ersten Mailserver bauen. In meinem Weltbild ist das damit eher kontraproduktiv.

Was andere Services angeht ist es häufig nicht viel anders, nur dass man sich meist leichter tut wirklich nur Angreifer/Scriptkiddies zu treffen. Bekanntere Sachen sind da Botkiller, wo man einen Eintrag in der robots.txt hat und dort ein Tarpit platziert (sonst nicht verlinkt). Damit gehen da nur Bots drauf, die explizit dort hingehen, wo sie nicht sollen. Aber auch da erschließt sich mir das nicht. Ist also eher eine Spielerei und sicher nett, um was neues zu lernen.

Ich habe mich früher mal sehr für Tarpits, Honeypots und so interessiert, aber es ist halt nichts, wo man mehr als ein paar dumme Angreifer und Spammer erwarten darf. Dazu ist es eben explizit neuer Code, neue Funktionalität, etc., damit auch potentiell Angriffsfläche. Und ja, mit Tarpits und Honeypots wurde bereits mehr als einmal ein DOS oder Remote Code Execution ermöglicht.

In den meisten Fällen ist die Zeit also anderswo besser investiert. Oder eben, wenn's einen Spaß macht, man mal ein Protokoll emulieren will, etc.

EDIT: Scanner/Bruteforce blocken zähle ich da mal nicht mit rein. Also wenn man DROP als Tarpit zählt, weil die andere Seite dann womöglich auf ein Timeout wartet oder so.