电子邮件防御分析以及对抗.pdf

网络 与通讯 电子邮件防御分析以及对付 《The A nalysis and C ou nterm eas ures of E lectro nic M ail Bom b er A ttack 摘 要 ：本 文 首 先 介 绍 了什 么是 电 子 邮 件 炸 弹 及 其 危 害 ，然后 分 析 了 电子 邮件 炸 弹 攻 击 的机 制 ，最 后 介 绍 了 对 抗 这 种 攻 击 方 式 的 一 个 简单 实现 。 关 键 词邮 件 炸 弹 攻 击 对 抗 A bstr ac t ：T his Paper fi rst intro duc es what a e lec tronic ma il bo mb er iS and ho w much harm i t w il l m ake ，then anal yzes the m echanism of e le ctr oni c m ai l bo m b er atta ck ． F i nall y a si m pl e im p lem enta ti on is p ut forw ar d to ke ep el ectronic m ai l bo mb er aw ay ． K eyw or ds ： M a rl B om be r ， A tta ck ， C ounter mea sur e 1 电子邮件的定义以及危害 电子 邮件 是指 发 信者 以 匿名 的 电子 邮件地 址 ，不 断重 复地将 电子邮件寄给同一个收件人 。

由于状况好像是战争时利 用 某种 战争 工 具对 同一 个地 方进 行 大轰 炸 ， 因此 称 为 电子 邮件 (E—MAIL BOMBE R)，是一 种具 有强 大杀伤 力 的网络 武器 。 一般情 况下 ，当 电子 邮件 被 不 断重 复地 发送 到 同一 电 子邮 件 地址 时 ，会 造 成邮件 服务 器拒 绝服 务 ( 即邮件 服务 器拒 绝 响应 请 求或 执行任 务 ) 。由于 以下 三种 原 因造成 了 网络 连接 的丢 失 、 系统崩溃、甚至服务成功 ( 即在服务器上不能执行那一服务 ) ： 1) 网络连接 过 载 ：2) 系 统资 源 耗尽 ；3) 大 量 邮件 和 系统 日 志 造成磁 盘 空间耗 尽。 2 电子邮件防御邮件服务器的原理 下面 介绍用 telnet 程序 通 过 SMTP 协 议发 送 电子 邮件 。现在 的电子邮件服务器一般是 Sendmail ，它是一个复杂的功用强悍 的应用 软件 。 sMTP 协议是一个基于文本 的协议，理解跟实现都非常简 单。可以使用 telnet 程序直接登陆到接收短信服务器的 TCP 端 口 25，进 行 SMTP 协 议交互 来 发送 邮件 。

％ telne t mail．x an e t．edu．an 2 5 2 20 mai l．x an e t．edu．ca E SM T P Se ndmail 8．9 ．1b + S ar r8 ．9 ．1： Mon，2 3 A pr 20 0 1 10：04 ：20 +0800 (CST) H E L 0 Z T E ．C0 M．C N 250 mail．xanet．edu．cn Hello [61．135．27．147]， pleased to m eet y ou MA IL F R OM ：< W A N G S H X @lZ T E ．C OM ．C N> 2 50 < W A N G SH X @ Z T E ．C OM ．CN > S ender ok RCPT T O：<SUNQING@X ANE T ．ED U．CN> 250 <SUNQING@XANET ．E DU．CN> Recipient 0k D AT A 3 54 E nter mail end with on a line by its eIf HI．MR SUNQING T H IS IS A T E ST F R OM W A NG S H E NG X IA NG ． 王胜祥张德运 2 50 KA A 194 4 6 M essag e ac cepted fo r deliver y QUIT 22 1 mai l．xanet．edu．cn closing connec tion 上述给出一个 SMTP 会话的文本格式，在使用 helo 表明本 方 标 识 (ZTE ．COM．CN)以 后 ，邮件 发送 方应 该 通 过 mail from 和 rcpt to 命令指 明该短信的发送方和接收方。

然而调用 data命令 输入 邮件 正文 的数据 ，并且 以 “ ．” 为 尾 的行 表 示数据 的 结束 。最 后 通 过 quit 命令退 出 SMT P 会 话并 且结 束 TCP 端 口 25 的连接 。 可见 ，SE NDMAIL 是 公 共服 务 ，一 旦 运 行 ，任 何 人都 能 连接 和 使用 它 。这就 给 邮件服 务器遭 受 邮件炸 弹攻击 留下 可乘之 机 。 在 和 邮件服 务器 建 立 连接 后 ，仅 仅 使用 SMT P 中的几 个指 令就 可 以不断 重复 地发 送 同一个 邮件给 同 一个 邮箱 ，达到 制造 电 子 邮件炸 弹 的 目的。 3 对抗电子邮件的一个简单实现 1．Snif er 的定 义和工 作原 理 ： Snif er ( 嗅探 器 )就 是 能够 捕获 在 网络下 传输 的信 息 的设 备，它又可以是硬件、软件，也可以是软硬件的结合。Snif er是哪 些有经验的网络管理员用来缓解这种数据存储 问题时使用 的一 种有 效工 具 。例如 ：假 设 网络 的 某一端 运 行得 不是 很好 ，而 我们 又不 知道 问题 出在 什 么地 方 ，就 可 以用 Snif er 来做 出准确 的问 题 判 断。

借 助 Snif er ，管 理人 员 能诊断 出少量 单个 主机许 多不 可 见 的 问题 。下面 说 明以太 网上 Snif er 的工作 原理 。 图 l 对抗 电子 邮件 的工作过程 以太网是一种共享媒体，这就意味着 ：一个网段下的所有主 机 都 能访 问媒 体下 传输 的所 有数 据 。 当网络接 口进入 正常 状态 时 ，网络 上 的所 有 机器 虽 然 可 以 “ 听 ” 到 通过 网络 的所 有数 据 ， 但 一般 只 响应 下列 两种 数据 帧 ：第 一种 是 目的地址 是本 主机 的 帧 ；第 二种 是广 播帧 。这能 以通 过识 别接 收到 的数据 包的 目的地 网络版 ：http：／／www ．IT O KL．corn 邮局订 阅号：82-946 72 元 ／年一33 — 维普资讯 <微计算机信息>2001 年第 17 卷第 期 址实现。如果不是发给 自己的数据包，则将其抛弃。但是，如果某 个 工作 站的 网络接 口被 设 置成 混杂 ( promiscuous) 模 式 ( 要让 主 机作为一个 Snif er，需要一个特殊的包驱动程序，该程序决定 了 接 收饯 送 包 的方 式 ) ，那么 ，它就 可 以捕 获 网络 上传 输 的所 有 内 容，而无论该数据包是否是发给 自己的。

如果一个工作站被配置 成那 样 的方法 ，它 ( 包括 其软件 ) 就 是一个 Sniffer。 Sniffer 必须位 于 准备 进 行 Snif ering(嗅探)工作 的 以太 网上 ， 它 可 以放 在 网段 中的任 何地 方 。若 将 Snif er 置于 网关 、网桥 、路 由器 等特殊 位 置下 ，则能 截获 更 多的信 息 。 2．电子 邮件 的结构 分析 ： 在 电子 邮件系 统 中 ，一 个 关键 的想 法 是信 封跟 内容 之 间 的 区别邮件攻击，信封中装着内容，也就是消息。信封上包含用来存储消息 所 需 的所有 信 息 ，如 收 件 人地 址 、优 先级 和 安 全 等级 ，所 有 这些 都与消息本来挺不同样。消息传输代理使用信封来选取路由正 如邮局所作的一样；信封 中的内容 ( 即消息) 包括两个方面 ：头 部 (header ) 和 主体 (body ) 。头 部包 括用 户 代理 的 控制 信 息 ，主 体 是 写给 收信 者 的 内容 。 RF C822 详述 了电子 邮件 的 消息格 式 ，消息 由一 个基 本信 封 ( 定义 在 R FC821 中 ) 、几个 头 字段 、一 个 空行 和 消息 主 体组 成 。

每 个 头 字段 ( 逻 辑 上 ) 由一 行 A SCII 文 本 组 成 ，包 括 字 段 名 、冒 号 以及小 多数 字段 都具 有 的值 。 下面列举了与消息存储有关的主要头字段。To：字段给出了 第一收件人的 DNS 地址，多个收件人是允许 的；Cc：字段给 出了 其 他第二 收件 人的地 址 。在 邮件传 递系 统 中 ，第一收 件人和 第 二 收件人没有区别，仅针对相关的接收者来说，可能会有心理下的 不 同 ：From：字 段和 Sender：字 段分 别指 出谁 书写跟 发送 的信 息 。 在 邮件 传递 途 中 ，每个 消 息转 发 代 理 都添 加 一 行包 含 Re— eeived：的消 息 ，主 要 有代 理 的名 称 、消 息收 到 的 日期 和 事件 ，以 及其 它一些 用来 在路 由选 择系 统 中查错 的信 息 。 Return —Path：字段 由最后一个消息存储代理添加 ，用来表明 如何 回到 发件 人 。理 论下 ，该 消息 能 从所 有 的 Received：头 部获 取 ( 除了发件人的信箱名之外 ) ，但很少这么填 写，通常只比如 发件 人的地 址 。

3．分析 邮件炸 弹 的过程 邮件的本质特点是 “ 不断重复” ，用 Snif er 捕获邮件 ， 然后 分析 所捕 获 的 电子邮件 ，注 意 到重 复 邮件 的消 息体 是相 同 的 ，若 邮件 的消 息体有 5 次 以上 的重 复时 ，便 断 定该 邮件 为 邮件 炸 弹 ，并立 即断 开与之 的 T CP 连 接 ，删 除 已经 接 收到 的 邮件 。 图 1说 明了对 抗 电子 邮件炸 弹 的工作 过程 。 4 结束语 计算机的安全越来越引起他们的关注 ，但它是一个十分复 杂 的探究 课题 。随着 计算 机在 人类 生活 各个 领域 的广泛 应 用，越 来越 多 的计 算机病 毒 在不 断 产生 和传 播 ，计 算机 网络 被不 断 非 法入侵，重要的资料被毁坏，甚至导致网络系统的瘫痪等 ，已给 众多公司产生很大的经济损失，甚至伤害国家的安全。因此计算 机 系统 的安 全 问题 是 ～个 关 系 国计 民生 的大 事情邮件攻击，必 须给 予 充 分 的加强 并设 法解 决 。 电子 邮件炸 弹 是拒 绝服 务攻 击 的一 种 方 式 ，是 针对 安全 服 务的 ，其 破坏 性 是让 电子 邮 件服 务器 系统 无法 提供 正常 服务 ，甚 至使 邮件服 务器 系统 瘫痪 。

分析 了 电子 邮件炸 弹攻 击 的原理 并帮 出 了一个 具 体 的抵御 实现 。安全 不是 静态 的 ， 而 是动态 的。只有 不 断地 适应 这种 动 态变 化 ，安全 才会 得 到保 障 。为此必 须掌 握和 发展相 关技 术 和技巧 ，才 能解 决安 全 问题 。 参 考文献 《实 用技 术 ：Linux 安 全最 大化 》 Anonymous 著 ，王 飒等 译 ， 电子工 业 出版 社 。 作者简介 ：王胜祥：男，1969 年 8 月 l 8 日出生于河南蒲城， l992 年 7 月 毕业 于国 防科技 大学航 天技 术系 固体 火箭 发动 机专 业 ，1998 年 9 月在西安交通大学西北地区校园教育网络 中心主 任张德运教授的指导上攻读计算机平台结构硕。现在深 圳 市 中兴通讯 股份 有 限公 司 C DMA 事业 部工作 。 ( 710049西 安 交 通 大 学计 算 机 网 络 研 究 所 ) 王 胜样张 德 运 (收 稿 日期 ：2oo1．6．28) (接 32 页)用 户访 问权 限等方 法 ，确保 数据完 整跟 信息 安全保密 。 5 一个 应 用例子 图(略可 向作者索要)反映的是上海工业 电度表厂 生产 管理 系统 的 网络 结构 。

在 该系统 中，所 有 的电脑 和服 务器 利用超 5 类 双 绞线 连接 成一 个星型 网络 ，其 配置 如下 ： 方 案 中采 用 了双服 务器 的 方法 ，主域 服 务器 是一个 集 强大 功 能 和 可 靠 性 于 一 身 的价 格 适 中 的 服 务 器 ——．IBM Netfi nity 550o，备 份 域 服 务 器 是 一 个 价 格高 廉 工作 站 服 务器 — —IBM Netfi nity 3000。服务器硬盘利用了u盘镜像技术，主域服务器中 用二个 10000 转 的 18G 硬盘 ，备 份域 服务器 中采 用 了二个 9G 硬 盘 。这样的方式一方面可以避免因服务器故障而造成企业停工 的状况 ，另一 方面 可 防止 因硬盘 问题 产 生 的数据 丢 失现 象 ，从 而 确 保 了大容量 数据存 取 的可靠 性跟 高速性 。 集 线器 使用 的是 3COM 的 24 口 10M SuperStackII HUB ，交 换 机则 是 3C0 M 的 24 口 10,1o0M 自适应 Swltch3300。由于两 个 交换机之间距离较远 ，因此人们之间借助 4 根超 5 类双绞线连 接，构成一个速度可达 800M 的通道 ，提 高企业管理部 门跟生产 部门之间的信息交换速率 ，使得整个局域网上吞吐率大大上升。

电度表的半 自动校验台通过 RS232C 串行线先连接到多路 控制 器 ，一 个 多路控 制器 最 多能连 接 六 台半 自动校 验 台，多路控 制器 再连接 到初 复校 电脑 的 串行 口下 。 全 自动 电子校 验 台通过 R S232C 串行 线 直 接连 接 到初 复 校 电脑 的串行 口下，速度可达 19．2K ，但一台电脑没法连接一 台全 自动 电子校 验 台 。 初复校 电脑主要完成对 电度表校验台的控制和信息收集 ， 并进 行数据 协议 的转 换 ，实现 数据 的 自动 录入 工作 。 各办 公室 电脑 是按 照各 个 办公 室 的职能 ，分别 实现 生产过 程 的控 制 、仓 库库 存 的管 理 、外 发表 号 的输入 及各 种数 据 的综合 管理等用途。网络系统运用 Windows NT 4．0，系统使用 Visual Foxpro 6．0，其 它 工作 电脑采 用 W indows 98 的操 作 系 统 ， 整个要 用软 件达 到完成 电度 表生 产管 理的应 求 。 6 结束语 经过近二年的实际应用，整个平台安全靠谱，提高了劳动生 产 率 ，减轻 了工 人 的劳 动强 度 。

能及 时看到 生产 和管 理过程 中 出 现各类不可预见问题 ，改变 了以前数据可靠性较差、统计预测准 确性 较高 、滞后性 很大 情况 ，为企业 持续 发展作 出了极大贡 献 。 参考文献 ● 熊桂喜 王小虎译 ，计算机 网络 ，清华大学出版社，1998 作 者 简 介 ：王 舒憬 ，男，现 为上 海大 学 自动化学 院讲 师 ，主要 研究方向是测试技术、网络科技跟技术的应用与研发。联 系 电话 ：(021) 56331269，E - mail ：wshuj ing@sh163d．sta．net．cn ( 2o0072上 海 大 学 延 长 校 区 自动 化 学 院4撑信 箱 ) 王舒 慑 (收 稿 日期 ：20o1．2．i 5) 网络版 ：http：／／www．ccuago ngkong ．com ．cn 一34 —72 亓．，年 邮 局 订 阅 普 ．82 -946 维普资讯

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-131137-1.html