Spampot：基于分布式蜜罐的垃圾邮件捕获系统清华大学计算机科学与技术系 郭军权

2012 年 7 月

内容 邮件蜜罐技术介绍 Spampot 系统的设计与特点 Spampot 系统部署情况与数据分析

• 捕获数据情况统计• 伪造或隐藏信息统计• 典型测试邮件数据分析• 僵尸网络的发现

下一步工作

邮件蜜罐技术介绍（一） 垃圾邮件（ Spam ）是描述未被请求的电子邮件的通用术语，巨大的商业利益驱动使垃圾邮件愈演愈烈。

目前，基于来源和基于内容的垃圾邮件过滤技术是两种非常有效的邮件过滤技术。为了能够有效过滤最新型的垃圾邮件，基于来源的垃圾邮件过滤方法需要不断更新黑名单地址库，而基于内容的过滤方法需要对新型垃圾邮件样本进行学习。

邮件蜜罐技术介绍（二） 黑名单技术的广泛应用，使得 Spammer 更倾向于使用开放中继（ Open Relay ）与开放代理（ Open Proxy ），来伪造发件人和隐藏真实的源 IP 地址信息，千方百计地改变邮件特征，突破邮件过滤技术的拦截和逃避追踪。

Spammer

受害用户

开放代理开放代理

开放中继

邮件蜜罐技术介绍（三）理解垃圾邮件发送者的行为特征（ Spammer behavior ）是与垃圾邮件做长期斗争的关键一步。如何收集大量的垃圾邮件，是研究垃圾邮件发送者行为的首要任务。传统的垃圾邮件收集方法难以及时搜集最新型的垃圾邮件样本。邮件蜜罐技术以其主动防御特性受到越来越多的关注。

内容 反垃圾邮件及邮件蜜罐技术介绍 Spampot 系统的设计与特点 Spampot 系统部署情况与数据分析

• 捕获数据情况统计• 伪造或隐藏信息统计• 典型测试邮件数据分析• 僵尸网络的发现

下一步工作

Spampot 系统Spampot 系统是一个集成了开放中继与开放代理的分布式垃圾邮件蜜罐系统，建立了新型垃圾邮件样本库、垃圾邮件发送者源 IP地址等黑名单库。系统主要由蜜罐客户端和中心服务器端两部分组成。系统总体框架如下图所示。

互联网互联网

开放代理（1080/8080）

开放中继（25）

连接邮件服务器？

URL白名单？

SMTP服务模拟模块

需要上报的邮件？

上报数据队列

数据收发子系统

是

是

否

是

连接信息 SMTP命令信息 邮件数据

否 丢弃

否

SMTP服务蜜罐

邮件转发模块Spammer测试邮件？

是

邮件转发子系统

数据库 数据处理

数据处理子系统

Spampot中心服务器

Spampot蜜罐客户端

Spammer

丢弃丢弃

目标服务器目标服务器

Spampot蜜罐客户端Spampot蜜罐客户端

…

Spampot中心服务器Spampot中心服务器

Spampot 系统框架设计与部署

Spampot 系统的设计特点• Spampot 系统的设计和部署有 3 个特色创新点：– （ 1 ）开放中继蜜罐与开放代理蜜罐的集成；– （ 2 ）针对 Spammer 和反垃圾邮件组织对

Open Proxy 、 Open Relay 的测试邮件，采用不同的应对策略；– （ 3 ） Spampot 蜜罐客户端的分布式部署使得数据采集更全面，而 Spampot 中心服务器的集中部署，使数据的存储和邮件的转发集中控制，最大限度的降低蜜罐系统带来的各种风险。

Spampot 系统难点解决了垃圾邮件蜜罐设计、实现、部署方面的几个难点：• （ 1 ）如何诱骗 Spammer ，使其发现并使用 Spampot 系统发送大量垃圾邮件。• （ 2 ） Spampot 系统如何防止被 Spammer滥用。• （ 3 ）如何防止 Spampot 系统的 IP 地址被黑名单组织或邮件服务商列入黑名单。

内容 反垃圾邮件及邮件蜜罐技术介绍 Spampot 系统的设计与特点 Spampot 系统部署情况与数据分析

• 捕获数据情况统计• 伪造或隐藏信息统计• 典型测试邮件数据分析• 僵尸网络的发现

下一步工作

Spampot 部署情况清华大学网络与信息安全实验室分别在教育网（ CERNET ）、清华大学、北京大学、北京网通和美国租用主机共部署了 7 个

Spampot 邮件蜜罐客户端，部署以来，记录了来自 2,138 个 IP 地址的 546,001次的开放中继和开发代理扫描行为，并捕获了发往71万个目的邮箱的 103,499份垃圾邮件样本。

垃圾邮件发送源情况

3462 4780 4134 4837 4808 3269 4538 17623 27699 18881 28573 4812 16276 4766 46475 12880 10297 17816 4230 179740

50

100

150

200

250

300

350

400

IP地址

数量

IP 地址自治域号

攻击源 IP 地址所在自治域号前 20位

垃圾邮件发送源情况

台湾 中国 美国 巴西 俄罗斯 韩国 印度 意大利 德国印度尼西

亚 英国 法国 伊朗 越南 墨西哥 乌克兰哥伦比亚 波兰 荷兰 香港

0

100

200

300

400

500

600

IP地址

数量

源 IP 所在国家或地区

攻击源 IP 数量排名前 20 的国家或地区

捕获攻击数据情况统计数据类型 数量SMTP连接数量 172,099

协议比例（ Open Relay/HTTP Proxy/SOCKS）

1.3%/46.1%/52.4%

请求转发邮件的连接数量 103,499

恶意源 IP地址数量 2,138

邮件的收件人次数 944,919

不同的收件人数量 718,849

不同的目标域名数量 3,447

捕获数据情况统计

捕获数据情况统计

1 10 100 1000 10000 100000 1e+060.8

0.85

0.9

0.95

1

接收邮件数量

CDF

接收邮件的域名所占比例

接收邮件的域名情况

1 、 80.5% 的域名仅接收了一封邮件。2 、 97.5% 的域名接收邮件少于 10份 ;3 、超过 100封的域名仅有 21 个，占总域名的0.6% 。4 、有三个域名 yahoo.com.tw 、 hinet.com 和gmail.com接收了 95.76% 的邮件。

Spammer 伪造或隐藏信息统计

伪造或隐藏信息类型 比例（百分百）伪造发件人源 IP地址 69.5

伪造发件人邮件地址 40.7

伪造或隐藏收件人邮件地址 80.7

邮件正文使用网页 88.9

邮件中使用编码的 URL 70.2

邮件中使用图片传递信息 2.7

• 经过大量的数据分析发现， Spammer 使用了各种伪装与混淆技术手段来改变垃圾邮件的特征。

邮件源发送的邮件数量分类• 从每个垃圾邮件源发送的邮件数量来看，可以将 Spammer 分为两类：1. 发送巨量邮件的 Spammer ，它在一段较短的时间内通过一个主机地址发送大量的垃圾邮件；2. 发送少量邮件的 Spammer ，它通过大量的主机，每个主机仅发送少量的垃圾邮件。

邮件源发送的邮件数量分类源 IP 地址连接蜜罐次数 CDF 图

1 10 100 1000 100000.2

0.3

0.4

0.5

0.6

0.7

0.8

0.9

1

IP源 地址连接次数

IPCDF

源地址比例 1 、 21.4% 的 IP仅仅连接了 1次；

2 、 67.7% 的连接少于 10次；3 、 0.87% （ 13 个）的连接超过 1000次，但是却发送了 20.8% 的垃圾邮件（ 21,572封邮件）。

Spammer 为什么使用蜜罐系统• Spammer 使用我们的蜜罐转发邮件可能有两个原因：– （ 1 ） Spammer 的 IP 地址已经在黑名单列表中了，世界上大部分邮件服务器会拒绝他们的邮件。经统计发现，连接蜜罐的 IP 地址在世界最著名的 6 个 DNSBL 中，有 76.3% 的 IP 地址至少在一个黑名单列表中了；– （ 2 ） IP 地址尚未被列入黑名单，但使用代理转发，可以减少他们的 IP 地址被列入黑名单的概率。

六个黑名单： spamhaus.org,spamcop.net,njabl.org,sorbs.net,abuseat.org,anti-spam.org.cn

典型测试邮件数据分析 1 、 Spammer 的测试邮件：蜜罐系统于 2012-03-19 21:57收到一封来自 IP 地址为 114.36.128.23 的测试邮件，内容如图 :

典型测试邮件数据分析• 2 、 NJABL 组织扫描可能的垃圾邮件源的测试邮件，如图下图所示

X-RT-Subject: relaytest: xxx.xxx.xxx.159X-RT-From: relaytestsend@rt.njabl.orgX-RT-To: relaytest@rr.njabl.orgFrom: relaytestsend@rt.njabl.orgTo: relaytest@rr.njabl.orgMessage-id: <1332303152.1895.0@rt.njabl.org>Subject: relaytest: xxx.xxx.xxx.159This is an automated test message for the purpose of finding and adding open relays to our dnsbl. If you have any uestions, see http://njabl.org/-----BEGIN PGP MESSAGE-----Version: GnuPG v1.4.5 (GNU/Linux)hQEOA6y+u+WccJSVEAP+IjI/7Ayb1zYFcYFTmR7Fau4t3I5t3pFJWCFPfl7+DctfO5T+epNG3l/UBM1KM0ieoGoYDEUCVb4bfTSivIC……-----END PGP MESSAGE-----

伪装发件人垃圾邮件样本 蜜罐系统收到的垃圾邮件存在大量的伪装发件人，隐藏收件人等特征的行为。

– 北京大学的蜜罐客户端于收到一封来自 120.151.160.68 的垃圾邮件，此邮件声称发件人为“ blnga@yahoo.com.tw” ，收件人为“ ricky11109@yahoo.com.tw” 等 11 个雅虎邮箱。

僵尸网络的发现 在统计数据时发现“ 2012-02-11 07:54” 到“ 2012-02-11 09:21” 的一个半小时内，共有 30 个 IP 地址为台湾地区的主机连接 xxx. xxx.50.xxx 蜜罐客户端共计 487次，且每次 TCP连接发送 3封垃圾邮件。每封邮件的发件人均假冒不同的 hinet.net 邮箱，收件人则为数十个

yahoo.com.tw 的邮箱，邮件内容基本为相同 html 网页。由此可以推断，上述 30 个 IP 地址的主机应该在同一个控制中心的命令下发送垃圾邮件的“僵尸网络”，这种使用“僵尸网络”发送垃圾邮件的做法越来越普遍。地区 僵尸网络数量台湾 5

中国大陆 3

巴西 2

美国 1

表 3 发送垃圾邮件的僵尸网络分布情况

下一步工作如何区分垃圾邮件数据和故意用于污染的正常邮件数据。将增加商业 ISP 中的节点，以便相关监测数据更全面。深入的样本分析和对垃圾邮件发送者新特征的挖掘。

总结 Spampot 系统实现开放中继蜜罐与开放代理蜜罐的有机结合，使捕获的垃圾邮件样本更加全面； 设计了识别并处理 Spammer 和反垃圾邮件组织测试邮件的应对策略，既增加蜜罐系统对 Spammer 的粘性，又降低系统被列入黑名单的风险； Spampot 蜜罐客户端的分布式部署使数据采集更全面，而

Spampot 中心服务器的集中部署，使数据的存储和邮件的转发集中控制，最大限度的降低蜜罐系统带来的各种风险。在实际部署中捕获了大量的垃圾邮件样本， Spampot 系统采集到了大量恶意源 IP 地址信息，扫描行为和邮件数据。在对数据进行分析的基础上，发现了新的垃圾邮件发送者行为特征，并发现了发送垃圾邮件的僵尸网络。

谢谢！