《網路安全》

  如何找出垃圾信的來源？

      當收到不明來源的電子信件時，暫且回想一下會不會是曾經在那
    裡註冊過個人資料或是要求人家寄電子信來通知一些新訊息，其不
    外乎下列三種情況：第一、你真的要求過。第二、垃圾信發信者隨
    便說說而已。第三、有人幫你申請。請注意！也有的垃圾信內容「
    竟然」寫著你曾經要求他們寄電子報給你。若分明沒有的話，我們
    就可以依本文的方法來找。若大家認為收到的信是有關電腦犯罪或
    是違法的，可以試試聯絡刑事警察局（http://www.cib.gov.tw/）
    、電腦犯罪cybercop@cib.gov.tw或是刑事局偵九隊的電腦犯罪檢舉
    電話：（02）2769-7403。

      為便於說明，以下舉筆者剛剛收到的垃圾信為例說明。基本上，
    整個mail  header區域只有「至少」一個「Received:」可以用來找
    出來源。至於，各個Received 是否有關就要細讀了。

垃圾信的mail header部分

From girl456@pavo.seed.net.tw Mon Jan 24 17:32:01 2000 
Return-Path: <girl456@pavo.seed.net.tw>
Received: from k17.kimo.com.tw (k17.kimo.com.tw	[139.175.68.
196])
______by beta.wsl.sinica.edu.tw	(8.9.3/8.9.3) with ESMTP id 
RAA26229
_____for ; Mon,	24 Jan 2000 17:32:01 +0800 
From: girl456@pavo.seed.net.tw 
Received: from 12 ([210.244.69.54]) by k17.kimo.com.tw
____(InterMail v4.01.00	201-232-112) with SMTP id		　
<20000124093142.JNO17390.k17@12>;
____Mon, 24 Jan	2000 17:31:42 +0800 
To:sale@beta.wsl.sinica.edu.tw,something@beta.wsl.sinica.edu.tw
Subject:★★★無論個人或同行調貨的最佳選擇★★★
Date: Mon, 24 Jan 2000 17:30:05	+0800 
Message-Id: <36549.729227430558200.16489@localhost>
MIME-Version: 1.0 
Content-Type: text/plain; charset=big5 
Content-Transfer-Encoding: 8bit

而Received：的格式大致可以讀成：

於Mon, 24 Jan 2000 17:32:01 +0800,beta.wsl.sinica.edu.tw
收到k17.kimo.com.tw（k17.kimo.com.tw [139.175.68.196]）
寄出的垃圾信。

至於第二個Received是說：

於 Mon,	24 Jan 2000 17:32:01 +0800, k17.kimo.com.tw 
收到12（[210.244.69.54]）寄出的垃圾信。

      由以上的mail header，我們可以看出12 （[210.244.69.54]），
    這12是個假名字。而垃圾信來源真正的IP address是210.244.69.54
    卻無法藏匿。這才是真正發垃圾信的來處。由  210.244.69.54利用
    k17.kimo.com.tw的系統漏洞（沒將mail	relay設好）轉信給筆者。
    事實上，我們也無從得知真正發信者是誰。接著我們可以使用
    nslookup來看看這IP可能是那個ISP提供的。

$ nslookup 210.244.69.54 
Server:	dns.sinica.edu.tw 
Address: 140.109.1.10 

Name: tc69-54.cable.seed.net.tw	
Address: 210.244.69.54 

      由上述資料可以看出這是一封由SeedNet發出的信件。接著我們也
    想通知kimo.com.tw有關我們的不悅。這時可以先試試
    http://www.abuse.net/lookup.phtml來找找負責的帳號。原來
    SeedNet的是antispam@eagle.seed.net.tw，而kimo.com.tw在
    abuse.net上應該是不正確的。只好經由漫長的網頁旅行，終於在
    http://help.kimo.com.tw/faq/mail/ad/center_mail_g2.html找到
    。這時我們就可以隨信附上我們收到的垃圾信（記得要包含原來的
    mail			header）給abuse@kimo.com.tw以及
    antispam@eagle.seed.net.tw，就可以一起寄出去抗議了。別忘了
    ，也應該要求kimo.com.tw 去http://www.abuse.net去註冊。

      但萬一以上的方法不靈呢？筆者用以下更繁複的方法來試，若只
    有IP（以下以 aaa.bbb.ccc.ddd 來表示）的話：

1.先試nslookup找找看是否有domain name 出現；

2.traceroute（中研院計算中心網路組已經關掉router的ICMP，所以大
  家無法查某個IP路由路徑）；

3.這時可以再試ping -R（顯示資訊較少）；

4.再不行就試著到各國NIC（Network Information Centre）的whois資
  料庫去找。

      若能找到domain名字的蛛絲馬跡，就試看看找不找得到web
    server。也可以先到	http://www.abuse.net/lookup.phtml去試試
    看找到的網域是那個電子郵件信箱在當窗口。

      如果看起來對方也沒正式登記過的話，可以在對方的首頁裡找負
    責的帳號，如service、abuse、spam、postmaster等等帳號都可以
    。杜絕此類郵件最根本的方法，大概只好自己寫過濾垃圾信的程式
    ，以便於處理掉這些特別的來處了。

以下是一個到NIC去查的結果：

inetnum: 210.64.0.0 - 210.64.255.255 
netname: SEEDNET 
descr: Digital United Inc. 
descr: 9F, No. 125, Song Jiang Road 
descr: Taipei, Taiwan 
country: TW 
admin-c: [12]CY74-AP 
tech-c:	[13]CY74-AP 
mnt-by:	MAINT-TWNIC-NS 
changed: hostmaster@twnic.net 20000113 
source:	APNIC

顯示從210.64.0.0到210.64.255.255都是屬於SeedNet的。

以下是用ping -R的例子：
$ ping -R 210.64.193.164 
PING 210.64.193.164 (210.64.193.164): 56 data bytes 
64 bytes from 210.64.193.164: icmp_seq=0 ttl=120 time=32.6 ms 
RR:____beta.wsl.sinica.edu.tw (140.109.7.2) 
___172.31.0.13 172.31.4.1 SINICA-MOE.edu.tw (210.70.55.6) 
___moe7513.moe.edu.tw (140.111.1.254) 
___R56-177.seed.net.tw (139.175.56.177)	
___139.175.151.254 192.72.232.73 210.64.193.254	
64 bytes from 210.64.193.164: icmp_seq=1 ttl=120 time=34.5 ms 
(same route)

      由這裡我們可以發現，出了	     moe7513.moe.edu.tw後就進入
    R56-177.seed.net.tw，所以，這IP幾乎絲毫不差就是SeedNet在管
    理的。同理，Hinet也是一樣。不過，這不是準則只是參考而已。因
    為有時我們不知道對方在網路架構上，究竟扮演何種角色。

      譬如，我們曾收到一封spam mail是由	210.241.251.164寄出的。
    由APNIC查出是  TWNIC所控制。於是，再到TWNIC去查，結果發現，
    是某個地方的某人所擁有。此時，看ping -R的輸出只能猜測該IP與
    HINET的ISP業務可能有關。由於一次是八個IP同時屬於一個申請者
    ，這很可能是 ADSL 服務。不過，還是可以試著寄給Hinet	處理。

      目前由於院內無法traceroute，故筆者請朋友做了一份
    traceroute的輸出如下，提供讀者逕行參考。

什麼是SPAM?

      簡單來說，網際網路上的SPAM就是在Internet上將相同內容的資
    料大量強迫傳遞給其他不期待收到這些資訊的人們。目前多是利用
    mail、mailing    list或是USENET等機制來傳遞。而大部分的spam
    mail的內容都與商業廣告有關。甚至可以說其中又有很多是有關色
    情、賭博、盜版軟體、錢多得滾下來的發財夢等等遊走法律邊緣的
    內容。

      這樣看來倒很像平時家中信箱裡堆滿了垃圾信或是貼滿汽車或牆
    上的廣告。但不同的地方是信箱、或車上或牆上的廣告是要發送人
    以自己較多的成本來發送。但SPAM的發送者只要花很少的成本就能
    發送到比以前更遠的地方、更多的人手中。更慘的是，收信者得花
    自己的錢來看，因為他們要花電話費、連線時間才能知道收到什麼
    東西。但家中信箱的垃圾只要隨手丟進垃圾桶就沒了，花不上兩秒
    鐘呢。事實上，受害的不只這些。還有你的電子郵件信箱裡可能堆
    滿垃圾。你可能錯失你正期待的來信。USENET裡的討論區原來的參
    與者不想再多post信件，因為有人會收集他們的信件上的郵件地址
    去賣給寄垃圾信的人（筆者試過用個新帳號二至三天就會收到垃圾
    信）。以及ISP的郵件伺服器裡堆滿不預期的信件造成系統癱瘓，如
    果你是那家ISP的客戶就慘兮兮啦。

      目前，SPAM信件發信者甚至以企業化的方法來幫人們寄廣告信。
    利用免費網站來為自己打廣告。竟然也有網站明白地表示他們完全
    明白寄廣告信的行為是大家所厭惡的。筆者還看過一封廣告信直接
    暗示非法軟體的廠商可以找他們來寄廣告。當有人如此惡意的只為
    了自己的生意著想而不管原來的網際網路生態時，我門這群想要利
    用此「社群」來交換的人該如何呢？

      還有一種令收信者頭痛的就是有人惡意為別人註冊mailing  list
    或一些網路電子信件服務。不過這倒是很容易解決的事。只要提供
    網路電子信件服務的單位有安全觀念即可。在以後討論如何提供安
    全性的網路服務時，我們會另闢專欄探討。