detecção de anomalias no protocolo dns trabalho de graduação rodrigo diego melo amorim...
TRANSCRIPT
Detecção de anomalias no protocolo DNS
Trabalho de GraduaçãoRodrigo Diego Melo Amorim
Orientador: Djamel SadokCo-orientador: Eduardo Feitosa
Agenda
• Motivação• Objetivos• Conceitos Básicos• Detecção de anomalias• Resultados• Discussões• Trabalhos Futuros• Conclusões
Motivação
• Ameaças existentes na Internet
• DNS:– Importância e dependência para a Internet– Efeitos das ameaças no seu tráfego– Fragilidade não percebida durante projeto
Objetivos
• Estudar anomalias mais comuns no protocolo DNS.
• Implementar e analisar uma técnica de detecção de anomalias no protocolo DNS.
• Propor melhorias.
O protocolo DNS
• Serviço inerente à Internet• Tradução de nomes em endereços IP• Espaço de endereçamento hierárquico• Resolução de nomes– Iterativa– Recursiva
• Caching– TTL (Time-To-Live)
O protocolo DNS
Anomalias no protocolo DNS
• Perturbação ou comportamento indevido no tráfego DNS
• Podem ocorrer por:– Má-configuração de servidores– Má-utilização do protocolo– Ações maliciosas
Anomalias no protocolo DNS
• Typo Squatter– Uso de URL’s incorretas para fins maliciosos
(phishing).• Uso indevido de endereço privado (RFC 1918)– Respostas contendo endereços IP não-roteáveis.• DNS Rebind• Darknets
• Fast Flux Domains
Anomalias no protocolo DNS:Fast Flux Domains
• Domínios que mudam rapidamente seus endereços (TTL baixo).
• Muito utilizado por worms na composição de botnets, também chamada de Fast Flux Service Network (FFSN).
• Características semelhantes a serviços legítimos, como:– Round Robin DNS– CDN (Content Delivery Network)
Anomalias no protocolo DNS:Fast Flux Domains
• Algoritmo sugerido por Holz [1]
• Baseia-se nas características que distinguem FFSN de CDN e RRDNS:– Diversidade de endereços IP– Falta de controle físico sobre o flux-agent
Detecção de anomalias: Fast Flux Domains
Detecção de anomalias: Fast Flux Domains
• Dois parâmetros:– nA – número de endereços IP distintos retornados
para consultas de um mesmo domínio.– nASN – número de ASN’s distintos dos endereços IP
retornados para consultas de um mesmo domínio.• Métrica: equação de flux-score
• Captura– Lê arquivos de captura
de tráfego.– Obtêm apenas
informações relevantes.
• Base– Comunicação com a
base
• Análise– identifica padrão de
anomalia
Detecção de anomalias: Implementação
Detecção de anomalias:Execução
• Corretude funcional do software.
• Tráfego anômalo simulado em laboratório.
• Domínios maliciosos extraídos do ATLAS da Arbor Network [2]
Resultados: Validação
4import.
me.
sbbal.
cn.
srrog.c
n.
sswhose.
cn.
stthro
w.cn.
sutry
.cn.
urwoman
.cn.
uswho.cn
.
6l4a3p875.co
m.
7d19i14db.com.
buyonlin
epharm
a.com.
chris
tianzfu
nz.com.
chris
tiezfunz.c
om.
chris
tinazfunz.c
om.0
50
100
150
200
250
300
numero de respostanumero de ASflux-scorelimitante
• Tráfego real capturado nos laboratórios do Grupo de Pesquisa em Redes e Telecomunicações (GPRT) do Centro de Informática (CIn).
• Duas semanas.
Resultados: Experimentação
Resultados: Experimentação
• Quantidade de respostas por faixa de TTL
0-100100-200200-300300-400400-500500-600600-700700-800800-900
900-10001000-11001100-12001200-13001300-14001400-15001500-16001600-17001700-18001800-1900
0 500 1,000 1,500 2,000 2,500 3,000
Quantidade de Pacotes de Resposta
Faix
a de
TTL
• Falso positivos– Muitos domínios
legítimos foram alertados como anômalos.
– Maioria do domínio akamai.net, pertencente a um CDN Famoso, Akamai Technologies [3]
Resultados: Experimentação
71%
7%
4%
18%
Domínios Falso-PositivosAkamai.net. Akamaitech.net. Freenode.net. outros
• nA muito variável tem em domínios legítimos.
• Consultas acumuladas causam aumento do flux-score.
• nASN se mostrou mais eficaz na indicação de FFSN.
Discussões
a1223.cp
.akam
ai.net.
a1725.l.a
kamai.
net.
a537.m
m1.akam
ai.net.
a995.m
m1.akam
ai.net.
a996.m
m1.akam
ai.net.
a997.m
m1.akam
ai.net.
a1475.g.
akam
ai.net.
a1722.g.
akam
ai.net.
a1170.g.
akam
ai.net.
a1811.g.
akam
ai.net.
a1829.g.
akam
ai.net.
a1850.g.
akam
ai.net.
a1976.b.ak
amai.
net.
a957.g.
akam
ai.net.
0
100
200
300
400
500
600
700
fluxscoreqtde consultas
Trabalhos Futuros
• Alterar e testar o algoritmo de detecção de FFSN.
• Agregar à ferramenta a detecção de outras anomalias.
• Adaptar a ferramenta para a detecção de anomalias em tempo real (online).
Conclusões
• O protocolo DNS se tornou um importante alerta de ameaças a internet
• O uso de Fast Flux Domains é crescente e seu estudo ainda é escasso.
• Muitas anomalias ainda faltam ser estudadas e combatidas.
Perguntas e Respostas
Referências
• [1] T. Holz, C. Gorecki, K. Rieck, and F. C. Freiling. Measuring and Detecting Fast-Flux Service Networks. In Proceedings of the 15th Annual Network & Distributed System Security Symposium (NDSS), 2008.
• [2] ATLAS Summary Report: Global Fast Flux, http://atlas.arbor.net/summary/fastflux
• [3] Akamai Technologies, http://www.akamai.com/.