1
SEGURANÇA
Capítulo 9
Crovella, M, Krishnamurthy, B. Internet Measurement: infrastructure, traffic & applications. John Wiley &
Sons, 2006.
Roteiro
2






Papel das Medições da Internet na Segurança
Medições na Intranet como Ajuda à Segurança
Medições no Gateway como Ajuda à Segurança
Impacto das Medições Interdomínio na Segurança
Medições de Longa Distância como Ajuda à
Segurança
Medições de Ataques na Camada de Aplicação
Roteiro
3






Papel das Medições da Internet na Segurança
Medições na Intranet como Ajuda à Segurança
Medições no Gateway como Ajuda à Segurança
Impacto das Medições Interdomínio na Segurança
Medições de Longa Distância como Ajuda à
Segurança
Medições de Ataques na Camada de Aplicação
Papel das Medições da Internet na
Segurança
4

Exame de características básicas dos pacotes tais
como:
 Intervalos
de tempo entre chegadas
 Tamanho dos pacotes
 Escolhas de protocolos
 Padrões de interação entre pontos terminais
 Endereços

IP e portas origem e destino
São utilizadas para a detecção de atividades
incomuns (Fora do padrão)
Camadas Mais Altas
5

Nas camadas mais altas:
Padrões ON/OFF das conexões
 Diferenças nos atributos a nível de fluxo
 Também foram usados em segurança das aplicações
associadas.



Logs de firewalls são examinados em busca de pontos
fora da curva.
Filtragem através de ACLs (Access Control List) de
roteadores podem fornecer informações sobre falsos
positivos:

Tráfego legítimo que pode ser bloqueado
inadvertidamente
Papel das Medições da Internet na
Segurança
6


Outros mecanismos de limitação de taxas, tais como o
CAR da Cisco, podem necessitar de monitoração para
examinar se o tráfego desejado está sendo limitado
resultando em piora no desempenho.
Anomalias no nível de configuração da comunicação
interdomínio, acidental ou deliberada, podem levar a
interrupções significativas que podem não ser
percebidas até que haja um ataque.

A monitoração passiva de mensagens de atualização BGP
em conjunto com informações de topologia podem ajudar a
detectar a presença destas anomalias.
Camada de Aplicação
7

Na camada de aplicação, tudo desde o conteúdo
de cabeçalhos de protocolos a suas cargas foram
candidatos para uma possível detecção de ataque.
A
falta de verificação de conformidade do protocolo
pelas implementações podem ser exploradas para
atacar servidores.
 O simples acompanhamento da fração entre a carga
(upload) e a descarga (download) de um par pode
ajudar a identificar “caroneiros” que contribuem para
a degradação geral da rede p2p.
Vírus e Fidelidade em Jogos
8


No caso de worms e vírus, houve uma quantidade
considerável de medições visando caracterizar,
isolar e ajudar na detecção destes eventos.
Em jogos em rede, o sequestro da identidade de
um usuário ou um jogador mentindo sobre as suas
coordenadas atuais são violações da fidelidade do
sistema.
A
ausência desta fidelidade pode ter um impacto sério
no número de participantes no jogo e, portanto, na sua
popularidade geral.
Intrusões
9

Uma intrusão é frequentemente detectada como um
desvio da norma;


Com a norma definida a partir de históricos de padrões de
acesso e a política do sítio.
Uma arquitetura para um sistema de detecção de
intrusões (IDS) pode começar com:
A filtragem e bloqueio de tráfego
 Reunir informações adicionais sobre possíveis atacantes
 Análise através de múltiplas camadas da pilha de
protocolos antes de encaminhar os pacotes para o destino
pretendido.

Intrusões
10



Métodos de detecção de mudanças construídos sobre
técnicas de medições estatísticas monitoram os níveis de
tráfego em diferentes partes da rede para avisar
sobre possíveis ataques.
Foram criadas ferramentas para ajudar na detecção
de intrusão com a incorporação de componentes
básicos de medições.
Produtos comerciais de segurança dependem de
medições para identificar ameaças em potencial,
reduzir falsos positivos e na agregação de informação
com finalidades forenses.
Roteiro
11






Papel das Medições da Internet na Segurança
Medições na Intranet como Ajuda à Segurança
Medições no Gateway como Ajuda à Segurança
Impacto das Medições Interdomínio na Segurança
Medições de Longa Distância como Ajuda à
Segurança
Medições de Ataques na Camada de Aplicação
Medições na Intranet como Ajuda à
Segurança
12


A maior parte das entidades administrativas estão
preocupadas apenas em tornar seguras as suas
próprias redes.
As medições que são usadas para caracterizar os
problemas de segurança dependem de:
A
natureza do tráfego dentro da rede
 Os tipos de ataques observados e
 A importância dos recursos que estão sendo
protegidos.
Medições na Intranet como Ajuda à
Segurança
13

Podem ser minerados informações de medições
passivas que já estejam sendo realizadas, tais como
dados de SNMP, ou informações de fluxos (ex. netflow).

Desvios significativos do tráfego esperado podem ser vistos
como uma violação de segurança em potencial apesar de
que alguns desvios significativos podem ser um
comportamento de rotina.
Uma breve falha de comunicação com um servidor DNS pode
fazer com que uma aplicação seja suspendida por alguns
segundos e um retorno ao comportamento normal confirmariam a
ausência de um ataque.
 Da mesma forma, um evento de flash crowd disparado por um
interesse repentino em um sítio Web, não seria um ataque.

Uso de Medições Passivas
14



Pela sua própria natureza, as medições passivas
analisadas após o fato, são sobretudo detecção de
intrusão e não uma prevenção ativa.
Os logs dos firewalls são normalmente reunidos tanto
em tráfegos que foram bloqueados como naqueles que
foram permitidos.
Nesta seção serão examinadas técnicas que foram
propostas para usar dados disponíveis em diversos
níveis procurando por possíveis violações de segurança.

Medições da Intranet usam SNMP, dados de fluxos e logs
em diversos níveis de ataques.
Dados do SNMP
15

Os dados do SNMP são coletados periodicamente
(tipicamente a cada 5 minutos) e consistem de uma
variedade de estatísticas de tráfego tais como
contadores de pacotes e número de bytes que
atravessam um link
O
intervalo de coleta limita o tipo de anomalias que
podem ser detectadas dado que desvios breves que
forem menores que este intervalo não serão
capturados.
Dados de Fluxo e SNMP
16


Os dados de fluxos são coletados em diversos
roteadores (acesso, entrada, etc.) em formato bruto.
Um exemplo do uso de dados de SNMP e de fluxos
para detectar ataques de negação de serviço
(DoS), com a aplicação de transformações
baseadas em ondaletas (wavelets) aos dados é
descrita em [BKPR02].
 Foram
usadas ondaletas dado que elas consideram
seja a frequência como o tempo na descrição da série
temporal dos dados.
Dados de Fluxos
17

Se o volume dos fluxos de dados se tornarem
extremamente grandes, são obtidos apenas dados
amostrados.
A amostragem pode ser simplesmente estatística, tais como
um a cada n pacotes
 Ou algo mais inteligente – polarizado para o percentual de
tráfego em certas aplicações


O nível de detalhes disponíveis em dados de fluxos é
frequentemente suficiente para distinguir as aplicações
e examinar mais de perto endereços de origem e
prefixos de interesse.
Dados de Fluxos
18

Mesmo que os dados de fluxos sejam coletados continuamente,
devido à natureza dos fluxos que são exportados para a entidade
coletora, múltiplas transações que durem minutos podem expirar
antes que um registro de fluxo seja escrito.


Portanto, muitas das análises de registros de fluxos são realizadas após
o fato, ao invés de ao vivo.
A análise estatística dos registros de fluxos podem identificar
rapidamente endereços de origem que excedam alguns limiares
esperados de contagem de pacotes ou de bytes para certas
aplicações.


No entanto, limiares não são sempre a melhor forma para identificar
atacantes.
Pacotes de teste enviados por endereços IP atacantes são em pequeno
número, mas são uma ameaça à segurança.
Dados de Fluxos
19


Dado que os registros de fluxo não contêm o corpo
dos pacotes, eles não são capazes de identificar
ataques baseados no conteúdo.
Logs de aplicações de alto nível frequentemente
retêm os cabeçalhos e, em casos específicos,
informações de pacotes em camadas ainda mais
profundas.
 Estes
logs podem ser minerados para obter dados
adicionais.
Tráfego de Saída
20


Dado que é possível que ataques sejam disparados de
dentro da rede, as medições podem ser usadas para
verificar se o tráfego de saída excede alguns limiares.
Os ataques podem ser originados a partir de uma
localidade do usuário;


Pode ser não intencional e disparado por um vírus.
Em geral é mais difícil escolher limiares razoáveis para o
tráfego de saída dado que o tráfego pode ser benigno.

Ao contrário do tráfego de entrada onde restrições de
capacidade e estatísticas passadas podem ajudar na obtenção
de limiares interessantes, é mais difícil manter estatísticas em
relação a destinos externos.
Roteiro
21






Papel das Medições da Internet na Segurança
Medições na Intranet como Ajuda à Segurança
Medições no Gateway como Ajuda à Segurança
Impacto das Medições Interdomínio na Segurança
Medições de Longa Distância como Ajuda à
Segurança
Medições de Ataques na Camada de Aplicação
Medições no Gateway como Ajuda à
Segurança
22


Os firewalls no perímetro de entidades administrativas registram
uma variedade de atividades de rede.
Medições locais foram realizadas nos firewalls para ver se as
ferramentas criadas para segurar ataques de inundação pode ser
sobrepujado com o incremento da taxa de inundação.


Ex.: inundação de pacotes de SYN
Os firewalls também registram informações detalhadas sobre o
tráfego destinado à instalação que estão protegendo.

Estes registros podem ser minerados em busca de informações
interessantes:




Endereços IP origem que habitualmente enviam tráfego não autorizado
Aplicações mais comumente testadas
Números de portas mais comumente testadas
Etc.
IDSes
23

A hipótese básica dos sistemas IDS é que a
atividade legítima dentro da rede é previsível:
 Adere
a certos padrões pré-especificados.
 Portanto, um conjunto de assinaturas podem ser
especificadas para observar o tráfego que viola os
padrões esperados para os tráfegos de entrada ou de
saída.
 Novas
assinaturas devem ser frequentemente recuperadas
de um servidor central dentro da organização.
Falsos Positivos
24

Um esforço considerável deve ser dispendido para
ajustar a assinatura a falsos positivos não
sobrecarreguem os IDSes.
Tráfego suspeitos de ataque que são na verdade tráfego
benigno.
 Demasiados falsos positivos reduzem a habilidade de
detectar ataques reais
 Por outro lado, não queremos perder ataques raros; ou a
taxa de falso negativos irá crescer.
 Ferramentas específicas foram criadas para tentar reduzir
falsos positivos em ferramentas populares de IDS [PYD01].

Firewalls
25



Muitos firewalls implantam listas de controle de acesso
(ACLs) e verificam endereços específicos de origem (na
rede externa) ou de destino (na rede interna).
Se o volume de tráfego indesejado for grande, pode
ser necessário criar uma zona desmilitarizada (DMZ).
Testes de vulnerabilidade podem ser executados por
ferramentas tais como Internet Scanner [Sec] e nmap
[nmap.org] que enviam pacotes de teste para verificar
se as configurações do firewall e suas políticas são
resilientes.
Firewalls
26

As configurações de firewall e as listas de controle
de acesso são especificados em diversos formatos a
depender do fabricante.
 Linux
ipchains
 IOS da Cisco
Ferramentas para a Detecção de
Intrusão
27

Citados no livro:
 Network
 Hoje:
Flight Recorder (NFR):
Checkpoint Intrusion Prevention System
 Bro
(nova versão: http://www.bro-ids.org/)
 Snort

http://sectools.org/tag/ids/:
 Snort:
http://www.snort.org/
 OSSEC HIDS: http://www.ossec.net/
 Sguil: http://sguil.sourceforge.net/
IDSes
28


Bro possui um interpretador de scripts de políticas através
do qual a política de segurança de um sítio pode ser
expressa numa linguagem de alto nível.
Snort:




Pode realizar análise de tráfego e de protocolo em tempo real
para ajudar a detectar diversos ataques e alertar os usuários em
tempo real.
Também usa uma linguagem para especificar que tráfego deve
ser filtrado e que tráfego pode passar.
Pode ser usado também como um mecanismo para registro dos
pacotes.
As diversas assinaturas da base de dados do Snort estão
documentadas incluindo o seu potencial para falsos positivos e
negativos e medidas corretivas a ser tomadas no caso de que um
determinado alerta seja levantado.
Roteiro
29






Papel das Medições da Internet na Segurança
Medições na Intranet como Ajuda à Segurança
Medições no Gateway como Ajuda à Segurança
Impacto das Medições Interdomínio na Segurança
Medições de Longa Distância como Ajuda à
Segurança
Medições de Ataques na Camada de Aplicação
Impacto das Medições Interdomínio na
Segurança
30

Ataques a nível interdomínio podem ter uma
grande escala e consequências muito sérias.
 Uma
tabela BGP comprometida pode resultar em
colocar uma fração significativa do tráfego num
“buraco negro”.
 Ou ainda pior, tráfego sensível para um determinado
destino pode ser sequestrado!
Monitoração de Mensagens BGP
31

A monitoração passiva de mensagens BGP
[KMRV03] combinada com um modelo de
conectividade de AS pode ajudar a isolar anúncios
de rotas que sejam inconsistentes com a topologia
atual indicando um possível ataque de “pessoa no
meio”.
 Esta
técnica examina o atributo AS_PATH das
mensagens de atualização do BGP buscando por
sequências impróprias.
Monitoração de Mensagens BGP
32

Mensagens de atualização do BGP foram coletadas
durante 4 semanas diferentes num período de dois anos.
Tendo sido examinada junto com um mapa de AS gerado
para cada uma das instâncias.



Os dados do primeiro dia de cada semana foi usado como um
conjunto de treinamento a ser comparado com os demais dias da
semana buscando anomalias.
Muitas das violações de propriedade incorreta dos IPs foram
devidas a má configurações; e, portanto, não eram ataques.
Outra forma de buscar possíveis violações é através da análise
de prefixos que parecem se originar em mais do que um AS.

No entanto, também há razões legítimas para que isto ocorra e é
necessário filtrar os falsos positivos.
Sequestro de Espaço de Endereços
33


Ocorre quando um AS anuncia por engano ou
deliberadamente um espaço de endereços que não
lhe pertence.
Foi medido em [MWA02] a frequência deste
fenômeno de sequestro assim como diversos outros
erros comuns de má-configuração.
Vantagens das Medições Relacionadas
com o BGP
34

O potencial de impacto de qualquer detecção é alto



e os diversos operadores e administradores responsáveis
pelo BGP normalmente tendem a cooperar quando são
relatados ataques ou má-configurações.
O volume de tráfego a ser examinado é normalmente
menor do que uma monitoração de pacotes em larga
escala e dados precisam ser coletados apenas na
pequena fração de roteadores de acesso que falam
BGP.
Uma vez que as medições indiquem a presença de
problemas, políticas de filtragem podem ser
implantadas ou modificadas as já existentes.
Roteiro
35






Papel das Medições da Internet na Segurança
Medições na Intranet como Ajuda à Segurança
Medições no Gateway como Ajuda à Segurança
Impacto das Medições Interdomínio na Segurança
Medições de Longa Distância como Ajuda à
Segurança
Medições de Ataques na Camada de Aplicação
Medições de Longa Distância como
Ajuda à Segurança
36

Roteiro:
 Classificação
de ataques DOS
 Detecção e rastreamento de atacantes
 Vírus e Worms
 Monitoração e Coordenação de Detecção de Intrusão
Classificação de ataques DOS
37

Ataques de negação de serviço têm sido a forma
mais comum de ataque na Internet.
 Examinando
as características dos pacotes envolvidos
nestes ataques (cabeçalhos, taxas de chegadas, etc.)
pode-se detectar a ocorrência dos mesmos.
Técnica backscatter
38

Esta técnica discute modos de monitorar um único link
de saída de um grande espaço de endereços (/8)
como um mecanismo de amostragem para caracterizar
o número total de ataques de negação de serviço.
Como os ataques são normalmente distribuídos, a
monitoração de um espaço largo de endereços permite a
caracterização dos ataques de DoS.
 A classificação baseada em fluxos tradicional pode ser
usada para classificar os ataques:


Baseado no protocolo, são realizadas verificações da presença
ou não de certos campos ou cabeçalhos.
Outras Técnicas
39


Sistema Cossack [HHP03a]: monitora links de peering
de forma bidirecional entre ISPs para examinar como
os ataques são propagados.
Ferramentas como tcpdump são usadas para capturar
cabeçalhos de pacotes para examinar se certos
limiares pré-configurados foram excedidos (ex. número
de fontes distintas que estão tentando se comunicar
com o mesmo host) para identificar um ataque.

Outros limiares incluem aumento na taxa de chegada de
pacotes e mudança no volume do ataque com o tempo.
Outras Técnicas
40

Foram desenvolvidos arcabouços para classificar os
ataques de DoS [HHP03b] usando:
 análise
de cabeçalhos,
 a velocidade de crescimento dos ataques
 distinção entre ataques a partir de uma fonte
individual ou de múltiplas fontes:
 Fornecida

através de análise de séries temporais.
O objetivo é ser capaz de caracterizar ataques
presentes e ajudar a identificar futuros ataques de
DoS.
Rastreamento de tráfego de ataque e
Honeypots (potes de mel).
41


Um honeypot é definido de forma abrangente como um
recurso cujo valor reside no seu uso não autorizado
Um mecanismo simples envolve anunciar um conjunto de
endereços que não estejam em uso ativo, chamados de
endereços escuros.




Quando chega algum tráfego nestes endereços, as origens
destes tráfegos são consideradas maliciosas.
Muitos honeypots escutam passivamente a este tráfego de
entrada, gastando poucos recursos neste processo.
Outros respondem ativamente desde o simples envio de um SYNACK em resposta a um SYN, à emulação de uma sessão de login,
e em casos extremos emulando todo o kernel.
Alguns honeypots podem identificar endereços IP suspeitos
[Vin04].
Honeyfarms
42

Coleção centralizada de honeypots e ferramentas de
análise relacionadas que recebem tráfegos suspeitos
redirecionados por diversos dispositivos de detecção
espalhados pela Internet.



Wormholes são appliances usadas para transmitir de forma
segura o tráfego suspeito para a honeyfarm.
Têm sido usadas para detectar worms
automaticamente.
Um conjunto de 𝑘 honeypots serão capazes de detectar
um worm quando aproximadamente 1/𝑘 das máquinas
vulneráveis estiverem infectadas.
Honeyfarms
43


As honeyfarms usam imagens de máquinas virtuais
para implementar honeypots criando tanto uma
‘assinatura de vulnerabilidade’ e possivelmente
uma assinatura de ataque.
A detecção é baseada nos honeypots infectados e
não no tráfego dos wormholes.
Telescópio de Rede
44


http://www.caida.org/research/security/telescope
/
Permite observar vítimas de certos tipos de ataques
de DoS ou hosts infectados por worms, e máconfigurações a uma distância segura.
Limitações dos Honeypots
45

Os honeypots reúnem dados nos alvos dos ataques e
outros dados indesejados, mas são incapazes de
localizar o ponto de entrada preciso deste tráfego na
rede.
Além do mais, alguns destes endereços de origem podem
estar mascarados (spoofed)
 Rastrear a origem deste tráfego é difícil devido a diversas
razões tais como:

Atraso desde a origem até a recepção do pacote
 Dificuldade de manutenção do estado ao longo do caminho deste
tráfego.


Os ASes ao longo do caminho não se beneficiam do conhecimento
de que o tráfego que transportam é malicioso.
Projeto Mohonk
46


Proposta para notificar os ASes no caminho antecipadamente sobre
destinos “escuros” levou à criação de honeypots móveis.
Aspectos da mobilidade:



Informação sobre a escuridão dos prefixos é disponibilizada para os
ASes a jusante e
O conjunto destes prefixos mudam periodicamente através de anúncios
BGP e retiradas.
Sendo as informações sobre os prefixos escuros conhecidas dos
ASes a jusante participantes do esquema, eles conheceriam este
tráfego e seus originadores muito antes e poderiam tomar alguma
ação corretiva.


O tráfego poderia ser descartado ou poderia ser incluído numa lista
negra caso a quantidade de tráfego indesejado excedesse um limiar
específico ao AS.
Nos anúncios BGP o campo do atributo COMMUNITY poderia ser usado
para informar aos ASes a jusante que o prefixo é escuro.
Arquitetura do Mohonk
47
Originadores indesejados
48

Medições da habilidade de detectar originadores
indesejados envolve escolher diversos parâmetros:
 Comprimento
dos prefixos que devem ser anunciados
para atrair tráfego suficiente
 Duração da vida dos anúncios
 Escolha das aplicações a serem associadas com os
endereços nos prefixos escuros
 Limiares da contagem de pacotes que decidem se o
tráfego é indesejado.
Originadores indesejados
49



Medições baseadas no mecanismo de honeypot devem
ser resilientes contra ataques visando atrapalhar a
configuração.
Dado que a comunidade dos blackhats trocam
informações sobre as técnicas de detecção eles evitam
os honeypots ao descobrirem os seus prefixos.
Uma medida da utilidade dos esquemas de honeypot é
a velocidade na qual os originadores de tráfegos
indesejados são detectados e colocados em listas
negras entre múltiplos ASes num certo período de
tempo comparado ao custo tanto para os whitehats
como para os blackhats.
Vírus e Worms
50


Malware – termo que engloba todos os softwares que
ao serem executados têm um impacto negativo.
Dentre as medições de interesse com relação a worms
temos:
Como as listas dos alvos são escolhidas
 O conjunto dos possíveis pontos de entrada
 O quão rapidamente eles podem se espalhar na Internet


Adicionalmente:

Extensão do dano econômico causado pelo malware tanto
em termos do instante do ataque ou como resultado de
outros ataques habilitados pela abertura de backdoors.
Gerador de Carga
51



Um mecanismo para criar um gerador de carga
para malware é discutido em [SYB04] com a
finalidade de recriar um tráfego de pacotes
malicioso.
A ideia é ser capaz de examinar tanto worms
conhecidos e explorar o potencial de variantes que
podem ser criados no futuro.
As características de desempenho de IDSes bem
conhecidos podem ser examinadas pelo gerador
de cargas.
Monitoração e Coordenação de
Detecção de Intrusão
52



Medições em combinação com estatísticas têm um
papel chave na melhoria das técnicas de
monitoração e detecção de intrusão.
Diversas ferramentas foram criadas para ajudar
aqueles que trabalham no campo da detecção de
intrusões.
Um dos principais objetivos é o de reduzir os falsos
positivos.
Compartilhamento de Informações
53


Dado que existe uma semelhança entre ataques na
Internet, espera-se que seja benéfico o
compartilhamento de informações entre sistemas de
detecção de intrusão.
Empresas e grandes ISPs tradicionalmente relutam
em compartilhar informações sobre ataques entre
eles devido a questões de privacidade e
preocupações de que as informações sobre as suas
vulnerabilidades se tornem públicas.
Compartilhamento de Informações
54


Organizações neutras desempenham um papel
importante em servir como uma central de troca de
informações.
Algumas empresas oferecem serviços tanto para
monitorar ataques dentro de empresas como para
coordenar ataques na Internet para fornecer um
sistema de alerta antecipado.
 Muitas
destas empresas formulam assinaturas de
ataques, compila estatísticas, criam bases de dados de
vulnerabilidades, e proveem possíveis contramedidas.
Tempos de Reação
55

Um problema chave em coordenar informações de
ataque ou intrusão é que dependendo da natureza
do ataque (varredura lenta ao invés de um worm
que se espalhe rapidamente), as reações do
agente de coordenação e as organizações
participantes devem ser diferentes.
 Dado
que um worm pode teoricamente se espalhar por
toda a Internet em questão de minutos [SPW02] não é
suficiente trocar informações de ataques
periodicamente.
Produtos Comerciais
56



Riverhead da Cisco
Peakflow da Arbor Networks
Intrushield da MacAfee
Roteiro
57






Papel das Medições da Internet na Segurança
Medições na Intranet como Ajuda à Segurança
Medições no Gateway como Ajuda à Segurança
Impacto das Medições Interdomínio na Segurança
Medições de Longa Distância como Ajuda à
Segurança
Medições de Ataques na Camada de Aplicação
Medições de Ataques na Camada de
Aplicação
58


Aplicações individuais podem mitigar ataques caso as
camadas inferiores sejam incapazes de bloqueá-los.
A forma ais popular de ataque à camada de
aplicação são os spams de e-mail


Que gasta bastante recursos na forma de produtividade do
usuário, largura de banda e armazenamento.
Os firewalls são a primeira linha de defesa (varrendo à
procura de vírus) mas normalmente não são capazes de
identificar os spams!
Spams
59


São realizados diversos tipos de medições seja
para caracterizar o problema seja como uma
análise contínua.
É preciso garantir que os grandes servidores de email não sejam sobrecarregados com mensagens
indesejadas.
 Os
transmissores SMTP são classificados nas seguintes
classes:
 Confiáveis
 Desconhecidos
 Suspeitos
Spams
60



Servidores mais ocupados lidam com transmissores
SMTP suspeitos
Servidores levemente carregados lidam com
transmissores confiáveis.
Estatísticas simples sobre o volume de spam suspeito
podem ser mantidos de modo a atualizar esta
divisão.
Filtragem de spams
61



Nos servidores a filtragem é realizada baseada numa
variedade de fatores relacionados com as mensagens
que chegam.
Baseado nestas técnicas de filtragem – normalmente
uma combinação de medidas estatísticas Bayesianas e
outras métricas calculadas pelo software de filtragem –
são obtidas informações globais sobre o transmissor
SMTP remoto.
As medições são realizadas baseadas no volume de
bytes trocados numa única mensagem e agregados num
certo período de tempo.
Registro de atividades
62


Nas camadas mais altas, diversos recursos
relacionados com segurança registram as
atividades (syslog, wtmp) que são usadas por
diversos IDSes.
Estes registros são analisados ao nível do usuário
procurando desvios tais como um aumento
inesperado nos níveis de privilégio ou repetidas
falhas durante estas tentativas.