안녕하세요 향기입니다~*
Tarpit 기능 및 적용방법입니다.
SMTP 타르핏 기능이란?
타르핏 기능은 스팸이나 기타 원하지 않는 트래픽과 관련된 특정 SMTP 통신을 고의적으로 지연하는 방법입니다. 이러한 종류의 통신을 적용하려면 일반적으로 많은 양의 트래픽을 사용하게 됩니다. SMTP 통신 속도를 저하시켜 자동 스팸을 보내거나 사전 공격(dictionary attack)을 수행할 수 있는 속도를 크게 줄일 수 있습니다. 타르핏 기능을 사용하면 합법적인 트래픽 또한 느려질 수 있습니다.
수고하세요~*
Microsoft Windows Server 2003의 SMTP 타르핏 기능
기술 자료 ID |
: |
842851 |
마지막 검토 |
: |
2006년 4월 17일 월요일 |
수정 |
: |
9.0 |
중요 이 문서에서는 레지스트리 수정 방법을 설명합니다. 레지스트리를 수정하기 전에 레지스트리를 백업하는 것이 좋습니다. 문제가 발생하는 경우 레지스트리를 복원하는 방법을 이해하고 있어야 합니다. 레지스트리 백업, 복원 및 수정 방법은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
256986 (http://support.microsoft.com/kb/256986/) Microsoft Windows 레지스트리 설명
이 페이지에서
타르핏 기능과 받는 사람 필터링 기능을 함께 사용하는 방법
공격자에게 도움이 될 수 있는 응답을 Exchange에서 보내지 않도록 막지 않는 이유
Exchange 2003을 사용하지 않는 경우 Windows Server 2003에서 타르핏 기능을 사용할 수 있습니까?
기술 업데이트: 2005년 5월 10일
Microsoft는 IT 전문가를 위해 이 문제에 대한 Microsoft 보안 권고를 릴리스했습니다. 보안 권고에는 이 문제에 대한 추가 보안 관련 정보가 들어 있습니다. 보안 권고를 보려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://www.microsoft.com/korea/technet/security/advisory/842851.mspx (http://www.microsoft.com/korea/technet/security/advisory/842851.mspx)
소개
이 문서에서는 SMTP(Simple Mail Transfer Protocol) "타르핏(tar pit)"에 대해 설명합니다. 타르핏 기능은 Microsoft Windows Server 2003 서비스 팩 1(SP1)을 실행하는 컴퓨터에서 사용할 수 있는 SMTP 기능입니다. 기본적으로 타르핏 기능은 해제되어 있습니다. 타르핏 기능을 사용하려면 관리자가 TarpitTime 레지스트리 항목을 구성하여 기능을 설정해야 합니다.
추가 정보
SMTP 타르핏 기능이란?
타르핏 기능은 스팸이나 기타 원하지 않는 트래픽과 관련된 특정 SMTP 통신을 고의적으로 지연하는 방법입니다. 이러한 종류의 통신을 적용하려면 일반적으로 많은 양의 트래픽을 사용하게 됩니다. SMTP 통신 속도를 저하시켜 자동 스팸을 보내거나 사전 공격(dictionary attack)을 수행할 수 있는 속도를 크게 줄일 수 있습니다. 타르핏 기능을 사용하면 합법적인 트래픽 또한 느려질 수 있습니다.
타르핏 기능은 Microsoft Windows Server 2003 및 여러 타사 SMTP 서버에서 사용할 수 있습니다. Windows Server 2003의 타르핏 기능은 SMTP 프로토콜 5.x.x 오류 코드를 포함하는 모든 응답 속도를 저하시킵니다. 관리자는 타르핏 기능으로 발생하는 지연을 구성할 수 있습니다. 타르핏 기능으로 발생하는 지연을 구성하는 방법에 대한 자세한 내용은 "타르핏 기능을 설정하는 방법" 절을 참조하십시오.
타르핏 기능을 사용해야 하는 경우
Microsoft Exchange Server 2003 받는 사람 필터링을 설정한 경우 타르핏 기능을 사용해야 합니다. 받는 사람 필터링을 설정하지 않은 경우에는 타르핏 기능이 Exchange Server에 큰 이점이 되지 않습니다.
타르핏 기능을 설정하는 경우 SMTP 서버의 성능을 신중하게 모니터링해야 합니다. 또한 서버의 트래픽 패턴을 분석하여 타르핏으로 인해 일반 트래픽이 방해되거나 지연되지 않도록 해야 합니다.
타르핏 기능은 익명 SMTP 연결에만 영향을 줍니다. 인증된 세션에는 영향을 주지 않습니다. 따라서 다른 조직과 정기적으로 많은 양의 SMTP 메일을 교환하고 타르핏 기능이 이러한 트래픽에 영향을 주는 경우 SMTP 통신을 인증함으로써 해당 조직에 대해서는 타르핏 기능을 적용하지 않을 수 있습니다.
받는 사람 필터링 기능이란?
받는 사람 필터링 기능은 Exchange 2003의 새로운 기능입니다. 이 기능을 사용하면 특별히 정의된 받는 사람과 조직의 Active Directory 디렉터리 서비스에 나열되어 있지 않은 받는 사람이 보내는 메일을 필터링하거나 거부할 수 있습니다.
받는 사람 필터링을 설정하고 구성하는 방법에 대한 자세한 내용은 Microsoft Exchange Server 2003 온라인 도움말을 참조하십시오.
받는 사람 필터링 기능을 설정하면 보낸 사람은 잘못된 받는 사람이나 필터링된 받는 사람을 향하는 메일은 보낼 수 없습니다. 이러한 메일은 메일 본문이 전송되기 전에 SMTP 통신에서 사전에 거부됩니다.
이 동작은 일반적으로 Exchange Server에서 잘못된 메일을 처리해야 할 필요를 줄여 줍니다. 메일을 받거나 저장할 필요도 없으며 메일을 받지 않았으므로 잘못된 메일에 대해 NDR(배달 못함 보고서)을 보내지 않아도 됩니다.
받는 사람 필터링 기능을 사용하지 않을 경우에는 Exchange 조직의 잘못된 전자 메일 주소로 보내진 메일을 Exchange Server에서 받아 처리하게 됩니다. 이러한 메일을 처리한 후 Exchange Server에서는 모든 잘못된 메일에 대해 NDR을 생성하고 보내야 합니다.
참고 Microsoft Exchange 2000 Server 및 Exchange 2003에서는 NDR을 표시하지 않을 수 있습니다. 그러나 RFC 2821은 전자 메일 메시지를 받은 경우 잘못된 받는 사람에 대해 NDR을 반환해야 한다고 명시하고 있습니다. NDR을 표시하지 않도록 구성하는 방법에 대한 자세한 내용은 Exchange Server 2003 온라인 도움말을 참조하십시오.
타르핏 기능과 받는 사람 필터링 기능을 함께 사용하는 방법
받는 사람 필터링 기능의 단점은 전자 메일 주소 수집 공격의 효율성을 증가시킨다는 점입니다. 일반적인 수집 공격에서 사용자 도메인에 보내기 위해 다량의 전자 메일 메시지를 자동으로 생성하는 데 "사전" 또는 가능한 전자 메일 이름 목록이 사용됩니다. 목표는 각 전자 메일 주소의 유효성을 확인하는 것입니다. 그런 다음 공격자는 검색된 전자 메일 주소 목록을 사용하여 스팸이나 다른 비합법적인 용도의 메일을 보냅니다.
받는 사람 필터링 기능을 설정하면 서버는 SMTP 통신 동안 전자 메일 이름이 유효한지 여부를 표시합니다. 받는 사람 필터링 기능을 해제하면 공격자는 추측한 각 이름에 대해 NDR이 반환될 때까지 기다립니다.
받는 사람 필터링 기능과 타르핏 기능을 모두 설정하면 잘못된 전자 메일 이름에 대한 응답을 크게 지연할 수 있습니다. 이러한 동작은 공격을 방해합니다.
참고 대다수의 공격자가 스푸핑된(spoofed) 도메인으로 로그온하기 때문에 스팸 메일을 보내는 사람이나 기타 공격자가 사용자 서버에서 생성된 NDR을 실제로 받을 가능성은 희박합니다. NDR이 공격자를 찾을 수 있다면 여러분도 공격자를 찾을 수 있습니다. 따라서 NDR을 통한 사전 공격 위험은 SMTP 통신 동안 정보가 누출될 위험만큼 크지 않습니다.
공격자에게 도움이 될 수 있는 응답을 Exchange에서 보내지 않도록 막지 않는 이유
응답을 보내지 않도록 Exchange를 구성할 수도 있습니다. 이렇게 하려면 받는 사람 필터링 기능을 해제하고 NDR을 표시하지 않도록 해야 합니다.
앞에서 설명한 것처럼 NDR을 표시하지 않는 것은 RFC를 준수하는 방법이 아닙니다. 따라서 NDR을 표시하지 않는 것은 일반적으로 좋지 않습니다. 또한 NDR을 표시하지 않으면 전자 메일 메시지를 보낼 때 받는 사람 주소를 잘못 입력하는 일반 사용자에게 불편을 주기도 합니다. 전자 메일을 보내는 사람은 일반적으로 NDR이 반환되지 않으면 전자 메일 메시지가 목적지에 도달한 것으로 생각합니다.
받는 사람 필터링 기능을 설정하면 수집 공격을 받을 위험이 커질 수 있습니다. 그러나 NDR 대량 공격을 위한 벡터로 사용될 가능성도 줄어듭니다. NDR 대량 공격은 보낸 사람이 유효한 도메인의 반환 주소를 의도적으로 스푸핑한 다음 잘못된 전자 메일 메시지를 해당 도메인에서 보낸 것처럼 사용자에게 보내는 것입니다. 그러면 사용자의 서버는 이 도메인에 의무적으로 다량의 NDR 보고서를 보냅니다.
전자 메일 수집 공격, NDR 대량 공격 및 스팸 자체의 문제는 합법적인 전자 메일 전송에 유용하거나 필요한 SMTP 프로토콜 기능을 사용합니다. 합법적인 트래픽을 계속 허용하면서 이러한 위협으로부터 방어할 때 고려해야 하는 장단점이 있습니다.
타르핏 기능은 합법적인 사용자가 받는 영향을 최소화하면서 SMTP의 오용을 방지하는 하나의 또 다른 옵션입니다.
타르핏 기능을 설정하는 방법
경고 레지스트리 편집기나 다른 방법을 사용하여 레지스트리를 잘못 수정하는 경우 심각한 문제가 발생할 수 있습니다. 이 문제를 해결하려면 운영 체제를 다시 설치해야 할 수도 있습니다. Microsoft는 문제에 대해 해결을 보증하지 않습니다. 레지스트리의 수정에 따른 모든 책임은 사용자에게 있습니다.
타르핏 기능은 레지스트리 키를 통해 설정하고 구성할 수 있습니다. 다음과 같이 하십시오.
참고 TarpitTime 레지스트리 항목이 없으면 Exchange는 이 레지스트리 항목의 값이 0으로 설정된 것처럼 동작합니다. 레지스트리 항목의 값이 0이면 SMTP 주소 확인 응답을 보낼 때 지연되지 않습니다.
1. |
시작, 실행을 차례로 누르고 열기 상자에 regedit를 입력한 다음 확인을 누릅니다. |
2. |
다음 레지스트리 하위 키를 찾아서 누릅니다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SMTPSVC\Parameters |
3. |
편집 메뉴에서 새로 만들기를 가리킨 다음 DWORD 값을 누릅니다. |
4. |
레지스트리 항목 이름으로 TarpitTime을 입력한 다음 Enter 키를 누릅니다. |
5. |
편집 메뉴에서 수정을 누릅니다. |
6. |
10진수를 누릅니다. |
7. |
값 데이터 상자에 존재하지 않는 각 주소에 대해 SMTP 주소 확인 응답을 지연할 시간(초)을 입력합니다. 그런 다음 확인을 누릅니다. 예를 들어 5를 입력한 다음 확인을 누릅니다. 이렇게 하면 5초 동안 SMTP 주소 확인 응답이 지연됩니다. |
8. |
레지스트리 편집기를 종료합니다. |
9. |
SMTP(Simple Mail Transport Protocol) 서비스를 다시 시작합니다. |
Exchange 2003을 사용하지 않는 경우 Windows Server 2003에서 타르핏 기능을 사용할 수 있습니까?
예. 사용할 수 있습니다. 타르핏 기능은 일반적인 Windows Server 2003 SMTP 서비스 기능입니다. 이 SMTP 서비스는 Exchange에서 사용하며 다른 응용 프로그램에서도 사용할 수 있습니다.
타르핏 기능은 5.x.x 오류 응답에 지연을 삽입합니다. 응용 프로그램이 이러한 지연을 제대로 사용할 수 있는 경우 타르핏 기능을 설정할 수 있습니다.
참조
이 문서의 이전 버전은 다음에서 볼 수 있습니다.
899492 (http://support.microsoft.com/kb/899492/) Exchange Server 2003 전자 메일 주소가 열거되지 않도록 하는 소프트웨어 업데이트를 사용할 수 있다
문서의 최신 버전은 추가 설명 자료와 새 다운로드 정보로 업데이트되었습니다. 받는 사람 필터링 기능에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
823866 (http://support.microsoft.com/kb/823866/) Exchange 2003에서 RBL을 사용하도록 연결 필터링을 구성하고 받는 사람 필터링을 구성하는 방법
Exchange 5.5에서 배달 못함 보고서를 표시하지 않는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
837794 (http://support.microsoft.com/kb/837794/) Exchange Server 5.5에서 인터넷 메일 서비스가 NDR을 표시하지 않거나 배달할지 여부를 제어하는 데 사용할 수 있는 업데이트
SMTP 릴레이, 공격자가 자주 이용하는 또 다른 기능에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
304897 (http://support.microsoft.com/kb/304897/) XIMS: Microsoft SMTP 서버가 타사 테스트에서 전자 메일 메시지를 받고 릴레이할 수 있다
Microsoft 소프트웨어 업데이트에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
824684 (http://support.microsoft.com/kb/824684/) Microsoft 소프트웨어 업데이트를 설명하는 데 사용되는 표준 용어에 대한 설명