モーグルとカバとパウダーの日記 このページをアンテナに追加 RSSフィード Twitter

モーグルやカバ(EXカービングスキー)、山スキー(BC)の山行記録などがメインの日記です。
いろんな条件のいろんなところを、その時々の条件にあった滑り方で楽しむ、フリースキーをして遊んでいます。

検索で来られた方は、上の検索窓から再度検索していただくか、右サイドバーのカテゴリーやトピックスの項目で絞り込んでみてください。
仕事柄、コンピュータ系のネタも多いので、スキー関連ネタだけ読みたい方は[ski]、コンピュータ関連ネタは[pc]、スパム関連ネタは[spam]で絞り込んでください。

2007-07-03 (Tue)

[][]taRgreyのtarpitting時間について taRgreyのtarpitting時間についてを含むブックマーク taRgreyのtarpitting時間についてのブックマークコメント

前のエントリーで書いた和歌山大学で導入されているtaRgreyの件で、和歌山大学システム情報学センターの吉田さんからメールいただき、いろいろと情報をいただいていました。

その中で、taRgreyの遅延時間について大変参考になる資料をいただきました。


f:id:stealthinu:20070703153117p:image

これは遅延時間が3分(180秒)での切断時間のログです。

このログから、今まで推奨していた65秒の遅延では、遅延で拒否できる接続の約65%までしか拒否されず、約2分強まで掛けたほうが良い、ということがわかります。

ただ実際にはここまで漏れ(false negative)があるわけではないので、残りの分はHELOによるフィルタなどで落とされている可能性が高いと考えられます。


(追記)

Birds Of a Feather | taRgreyの遅延時間を125秒にした場合

Birds Of a Feather | taRgrey遅延時間を125秒にして丸一日の集計 より

cookie@信州FMさんのところで125秒で設定して試していただいたログでも、同様の結果が出ており、拒否されたIPを見るとやはりみなspamのようです。


自分のテスト環境ではこんな感じでした。

f:id:stealthinu:20070705142716p:image

やはり、120秒で大きな山が出ています。

そしてこの山はpipelining(こちらが返答を返していないのにもかかわらず、待たずに残りの情報を送ってきて切断しているもの)なので、普通のメールサーバでそんなことはしませんから、それだけでほぼ間違いなくスパムであることがわかります。


これまでの65〜90秒程度までのグラフについては

モーグルとカバとパウダーの日記 - Postfix-2.3でsleep中に切断されたらすぐに終了するパッチ

のものを参照してください。


自分はStarpit、つまりgreylistingでの救済がない運用から始めているため、遅延時間を最大でも90秒程度からテストしていました。

しかしtaRgreyの場合、tarpittingで誤検出する場合でも、greylistingでの救済がありますから、tarpittingの時間を長めに取っても誤検出となる可能性は低く抑えることが出来ます。

120秒のtarpttingだと、S25Rに引っかかってtarpittingを抜けられない正しいサーバがごくまれにありますが、greylistingで救済されると考えられます。

なので逆に、tarpitting+greylistingの2重でフィルタして運用している場合は、やはり65秒程度にしておいたほうがベターだと思います。


自分は今とりあえず、125秒に設定して運用試してみています。

もしtaRgreyで65秒ぐらいで運用されている方は、false negativeが気になる場合、125秒くらいに設定試してみて、false positiveが増えたりしないか、確認いただければと思います。

もし悪影響が少ないようであれば、この値をデフォルトにしたいと思うので、レポートいただけるとありがたいです。


(関連)

モーグルとカバとパウダーの日記 - 和歌山大の情報センターでもtaRgrey導入されてる

モーグルとカバとパウダーの日記 - Postfix-2.3でsleep中に切断されたらすぐに終了するパッチ

モーグルとカバとパウダーの日記 - taRgrey - S25R + tarpitting + greylisting

cookie@信州FMcookie@信州FM 2007/07/04 14:19 taRgreyのtarpitting時間を125秒にして集計してみましたが、これまで65秒設定で通過していたものが見事に止まっている感じです。
簡単ですが、遅延時間のヒストグラムもグラフにしておきました。

stealthinustealthinu 2007/07/04 15:25 ありがとうございます。
確かにこれで抜けがだいぶ減りますね。ただ、false positiveの可能性は増すので、それがどのくらい影響あるかが気になるところです。
早速、エントリーへ追記させていただきました。

cookie@信州FMcookie@信州FM 2007/07/05 09:38 taRgreyのtarpitting時間を125秒にしてから、丸一日経過したので切断時間を再度集計してみました。
グラフも描き直しましたので、こちらと差替えいただければと思います。
http://shinshu.fm/MHz/77.88/images/xc4Yx9G6.png

stealthinustealthinu 2007/07/05 10:50 新しいものに差し替えさせていただきました。
こちらはもっと顕著な値が出てますね。

cookie@信州FMcookie@信州FM 2007/07/05 15:28 こちらでも切断時の理由を調べてみましたが、切断時間が100秒以上のものは、そのほとんどが「pipelining after *** sec」でした。

stealthinustealthinu 2007/07/06 09:40 やっぱりそうですよね。
ということは、このピークは、特定のbot群を持ってるスパム送信業者1社のみ、ということなんだと推測出来ます。
そこだけで、全スパムの約3〜4割を出してる、と。

cookie@信州FMcookie@信州FM 2007/07/06 12:25 はい、全く同様の推測をしておりました^^;
それ以外でも、切断時間のピークが現れている箇所は、同一システムか同一ソフトを使っている可能性が高いって事かなと思っています。

ohbaohba 2007/07/06 18:15 中国発のspamが95秒でもかなり抜けてくるので、
しばらく前から、125秒の設定にした部分があります。
報告すればよかったかも。
(定量的な解析してないのものですから…(^^;))
結構、119秒とかが多い感じもしますし、
123〜124秒まで粘るのもありますね。

あと、sleepでに相当数を叩き落してますが
それでも抜けたものをあらためてブラックリストで
チェックをするようにもしてみました。

stealthinustealthinu 2007/07/10 12:18 >>cookieさん
そうですね。90秒でのピークや、60秒でもpipeliningで切ってるのは、たぶん同一業者でしょうね。
そう考えると、スパムの7割は3,4件のスパム送信業者によって撒かれてるんじゃないかと思います。

>>ohbaさん
やっぱり遅延時間延ばされてるのですね。
とりあえず、Webのほうの表記を125秒推奨に変更することにしました。