Detecção de anomalias no protocolo DNS

Trabalho de GraduaçãoRodrigo Diego Melo Amorim

Orientador: Djamel SadokCo-orientador: Eduardo Feitosa

Agenda

• Motivação• Objetivos• Conceitos Básicos• Detecção de anomalias• Resultados• Discussões• Trabalhos Futuros• Conclusões

Motivação

• Ameaças existentes na Internet

• DNS:– Importância e dependência para a Internet– Efeitos das ameaças no seu tráfego– Fragilidade não percebida durante projeto

Objetivos

• Estudar anomalias mais comuns no protocolo DNS.

• Implementar e analisar uma técnica de detecção de anomalias no protocolo DNS.

• Propor melhorias.

O protocolo DNS

• Serviço inerente à Internet• Tradução de nomes em endereços IP• Espaço de endereçamento hierárquico• Resolução de nomes– Iterativa– Recursiva

• Caching– TTL (Time-To-Live)

O protocolo DNS

Anomalias no protocolo DNS

• Perturbação ou comportamento indevido no tráfego DNS

• Podem ocorrer por:– Má-configuração de servidores– Má-utilização do protocolo– Ações maliciosas

Anomalias no protocolo DNS

• Typo Squatter– Uso de URL’s incorretas para fins maliciosos

(phishing).• Uso indevido de endereço privado (RFC 1918)– Respostas contendo endereços IP não-roteáveis.• DNS Rebind• Darknets

• Fast Flux Domains

Anomalias no protocolo DNS:Fast Flux Domains

• Domínios que mudam rapidamente seus endereços (TTL baixo).

• Muito utilizado por worms na composição de botnets, também chamada de Fast Flux Service Network (FFSN).

• Características semelhantes a serviços legítimos, como:– Round Robin DNS– CDN (Content Delivery Network)

Anomalias no protocolo DNS:Fast Flux Domains

• Algoritmo sugerido por Holz [1]

• Baseia-se nas características que distinguem FFSN de CDN e RRDNS:– Diversidade de endereços IP– Falta de controle físico sobre o flux-agent

Detecção de anomalias: Fast Flux Domains

Detecção de anomalias: Fast Flux Domains

• Dois parâmetros:– nA – número de endereços IP distintos retornados

para consultas de um mesmo domínio.– nASN – número de ASN’s distintos dos endereços IP

retornados para consultas de um mesmo domínio.• Métrica: equação de flux-score

• Captura– Lê arquivos de captura

de tráfego.– Obtêm apenas

informações relevantes.

• Base– Comunicação com a

base

• Análise– identifica padrão de

anomalia

Detecção de anomalias: Implementação

Detecção de anomalias:Execução

• Corretude funcional do software.

• Tráfego anômalo simulado em laboratório.

• Domínios maliciosos extraídos do ATLAS da Arbor Network [2]

Resultados: Validação

4import.

me.

sbbal.

cn.

srrog.c

n.

sswhose.

cn.

stthro

w.cn.

sutry

.cn.

urwoman

.cn.

uswho.cn

.

6l4a3p875.co

m.

7d19i14db.com.

buyonlin

epharm

a.com.

chris

tianzfu

nz.com.

chris

tiezfunz.c

om.

chris

tinazfunz.c

om.0

50

100

150

200

250

300

numero de respostanumero de ASflux-scorelimitante

• Tráfego real capturado nos laboratórios do Grupo de Pesquisa em Redes e Telecomunicações (GPRT) do Centro de Informática (CIn).

• Duas semanas.

Resultados: Experimentação

Resultados: Experimentação

• Quantidade de respostas por faixa de TTL

0-100100-200200-300300-400400-500500-600600-700700-800800-900

900-10001000-11001100-12001200-13001300-14001400-15001500-16001600-17001700-18001800-1900

0 500 1,000 1,500 2,000 2,500 3,000

Quantidade de Pacotes de Resposta

Faix

a de

TTL

• Falso positivos– Muitos domínios

legítimos foram alertados como anômalos.

– Maioria do domínio akamai.net, pertencente a um CDN Famoso, Akamai Technologies [3]

Resultados: Experimentação

71%

7%

4%

18%

Domínios Falso-PositivosAkamai.net. Akamaitech.net. Freenode.net. outros

• nA muito variável tem em domínios legítimos.

• Consultas acumuladas causam aumento do flux-score.

• nASN se mostrou mais eficaz na indicação de FFSN.

Discussões

a1223.cp

.akam

ai.net.

a1725.l.a

kamai.

net.

a537.m

m1.akam

ai.net.

a995.m

m1.akam

ai.net.

a996.m

m1.akam

ai.net.

a997.m

m1.akam

ai.net.

a1475.g.

akam

ai.net.

a1722.g.

akam

ai.net.

a1170.g.

akam

ai.net.

a1811.g.

akam

ai.net.

a1829.g.

akam

ai.net.

a1850.g.

akam

ai.net.

a1976.b.ak

amai.

net.

a957.g.

akam

ai.net.

0

100

200

300

400

500

600

700

fluxscoreqtde consultas

Trabalhos Futuros

• Alterar e testar o algoritmo de detecção de FFSN.

• Agregar à ferramenta a detecção de outras anomalias.

• Adaptar a ferramenta para a detecção de anomalias em tempo real (online).

Conclusões

• O protocolo DNS se tornou um importante alerta de ameaças a internet

• O uso de Fast Flux Domains é crescente e seu estudo ainda é escasso.

• Muitas anomalias ainda faltam ser estudadas e combatidas.

Perguntas e Respostas

Referências

• [1] T. Holz, C. Gorecki, K. Rieck, and F. C. Freiling. Measuring and Detecting Fast-Flux Service Networks. In Proceedings of the 15th Annual Network & Distributed System Security Symposium (NDSS), 2008.

• [2] ATLAS Summary Report: Global Fast Flux, http://atlas.arbor.net/summary/fastflux

• [3] Akamai Technologies, http://www.akamai.com/.