Detecção de anomalias no
protocolo DNS
Trabalho de Graduação
Rodrigo Diego Melo Amorim
Orientador: Djamel Sadok
Co-orientador: Eduardo Feitosa
Agenda
•
•
•
•
•
•
•
•
Motivação
Objetivos
Conceitos Básicos
Detecção de anomalias
Resultados
Discussões
Trabalhos Futuros
Conclusões
Motivação
• Ameaças existentes na Internet
• DNS:
– Importância e dependência para a Internet
– Efeitos das ameaças no seu tráfego
– Fragilidade não percebida durante projeto
Objetivos
• Estudar anomalias mais comuns no protocolo
DNS.
• Implementar e analisar uma técnica de
detecção de anomalias no protocolo DNS.
• Propor melhorias.
O protocolo DNS
•
•
•
•
Serviço inerente à Internet
Tradução de nomes em endereços IP
Espaço de endereçamento hierárquico
Resolução de nomes
– Iterativa
– Recursiva
• Caching
– TTL (Time-To-Live)
O protocolo DNS
Anomalias no protocolo DNS
• Perturbação ou comportamento indevido no
tráfego DNS
• Podem ocorrer por:
– Má-configuração de servidores
– Má-utilização do protocolo
– Ações maliciosas
Anomalias no protocolo DNS
• Typo Squatter
– Uso de URL’s incorretas para fins maliciosos
(phishing).
• Uso indevido de endereço privado (RFC 1918)
– Respostas contendo endereços IP não-roteáveis.
• DNS Rebind
• Darknets
• Fast Flux Domains
Anomalias no protocolo DNS:
Fast Flux Domains
• Domínios que mudam rapidamente seus
endereços (TTL baixo).
• Muito utilizado por worms na composição de
botnets, também chamada de Fast Flux
Service Network (FFSN).
• Características semelhantes a serviços
legítimos, como:
– Round Robin DNS
– CDN (Content Delivery Network)
Anomalias no protocolo DNS:
Fast Flux Domains
Detecção de anomalias:
Fast Flux Domains
• Algoritmo sugerido por Holz [1]
• Baseia-se nas características que distinguem
FFSN de CDN e RRDNS:
– Diversidade de endereços IP
– Falta de controle físico sobre o flux-agent
Detecção de anomalias:
Fast Flux Domains
• Dois parâmetros:
– nA – número de endereços IP distintos retornados
para consultas de um mesmo domínio.
– nASN – número de ASN’s distintos dos endereços IP
retornados para consultas de um mesmo domínio.
• Métrica: equação de flux-score
Detecção de anomalias:
Implementação
• Captura
– Lê arquivos de captura
de tráfego.
– Obtêm apenas
informações relevantes.
• Base
– Comunicação com a
base
• Análise
– identifica padrão de
anomalia
Detecção de anomalias:
Execução
Resultados: Validação
300
250
200
150
100
numero de resposta
50
numero de AS
christinazfunz.com.
christiezfunz.com.
christianzfunz.com.
buyonlinepharma.com.
6l4a3p875.com.
7d19i14db.com.
uswho.cn.
urwoman.cn.
sutry.cn.
stthrow.cn.
sswhose.cn.
srrog.cn.
sbbal.cn.
0
4import.me.
• Corretude funcional do
software.
• Tráfego anômalo
simulado em
laboratório.
• Domínios maliciosos
extraídos do ATLAS da
Arbor Network [2]
flux-score
limitante
Resultados: Experimentação
• Tráfego real capturado
nos laboratórios do
Grupo de Pesquisa em
Redes e
Telecomunicações
(GPRT) do Centro de
Informática (CIn).
• Duas semanas.
Resultados: Experimentação
• Quantidade de respostas por faixa de TTL
1800-1900
1600-1700
1400-1500
Faixa de TTL
1200-1300
1000-1100
800-900
600-700
400-500
200-300
0-100
0
500
1,000
1,500
2,000
Quantidade de Pacotes de Resposta
2,500
3,000
Resultados: Experimentação
• Falso positivos
– Muitos domínios
legítimos foram
alertados como
anômalos.
– Maioria do domínio
akamai.net, pertencente
a um CDN Famoso,
Akamai Technologies [3]
Domínios Falso-Positivos
Akamai.net.
Akamaitech.net.
Freenode.net.
18%
4%
7%
71%
outros
• nA muito variável tem
em domínios legítimos.
• Consultas acumuladas
causam aumento do
flux-score.
• nASN se mostrou mais
eficaz na indicação de
FFSN.
a957.g.akamai.net.
a1976.b.akamai.net.
a1850.g.akamai.net.
a1829.g.akamai.net.
a1811.g.akamai.net.
a1170.g.akamai.net.
a1722.g.akamai.net.
a1475.g.akamai.net.
a997.mm1.akamai.net.
a996.mm1.akamai.net.
a995.mm1.akamai.net.
a537.mm1.akamai.net.
a1725.l.akamai.net.
a1223.cp.akamai.net.
Discussões
700
600
500
400
300
200
100
0
fluxscore
qtde consultas
Trabalhos Futuros
• Alterar e testar o algoritmo de detecção de
FFSN.
• Agregar à ferramenta a detecção de outras
anomalias.
• Adaptar a ferramenta para a detecção de
anomalias em tempo real (online).
Conclusões
• O protocolo DNS se tornou um importante
alerta de ameaças a internet
• O uso de Fast Flux Domains é crescente e seu
estudo ainda é escasso.
• Muitas anomalias ainda faltam ser estudadas
e combatidas.
Perguntas e Respostas
Referências
• [1] T. Holz, C. Gorecki, K. Rieck, and F. C.
Freiling. Measuring and Detecting Fast-Flux
Service Networks. In Proceedings of the 15th
Annual Network & Distributed System Security
Symposium (NDSS), 2008.
• [2] ATLAS Summary Report: Global Fast Flux,
http://atlas.arbor.net/summary/fastflux
• [3] Akamai Technologies,
http://www.akamai.com/.
Download
  1. No category

Detecção de anomalias no protocolo DNS

- Sucesu-RS

- Sucesu-RS

TELEMOVEIS

TELEMOVEIS

Oportunidades para Você Jovem de Sucesso

Oportunidades para Você Jovem de Sucesso

Desenvolvimento da documentação do aplicativo

Desenvolvimento da documentação do aplicativo

NET * Serviços de Telecomunicações

NET * Serviços de Telecomunicações

Tipos de Servidores

Tipos de Servidores

TELEMOVEIS

TELEMOVEIS

Directora Geral do DNS.PT

Directora Geral do DNS.PT

Objetivos dos Núcleos

Objetivos dos Núcleos