A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Detecção de anomalias no protocolo DNS Trabalho de Graduação Rodrigo Diego Melo Amorim Orientador: Djamel Sadok Co-orientador: Eduardo Feitosa.

Apresentações semelhantes


Apresentação em tema: "Detecção de anomalias no protocolo DNS Trabalho de Graduação Rodrigo Diego Melo Amorim Orientador: Djamel Sadok Co-orientador: Eduardo Feitosa."— Transcrição da apresentação:

1 Detecção de anomalias no protocolo DNS Trabalho de Graduação Rodrigo Diego Melo Amorim Orientador: Djamel Sadok Co-orientador: Eduardo Feitosa

2 Agenda Motivação Objetivos Conceitos Básicos Detecção de anomalias Resultados Discussões Trabalhos Futuros Conclusões

3 Motivação Ameaças existentes na Internet DNS: – Importância e dependência para a Internet – Efeitos das ameaças no seu tráfego – Fragilidade não percebida durante projeto

4 Objetivos Estudar anomalias mais comuns no protocolo DNS. Implementar e analisar uma técnica de detecção de anomalias no protocolo DNS. Propor melhorias.

5 O protocolo DNS Serviço inerente à Internet Tradução de nomes em endereços IP Espaço de endereçamento hierárquico Resolução de nomes – Iterativa – Recursiva Caching – TTL (Time-To-Live)

6 O protocolo DNS

7 Anomalias no protocolo DNS Perturbação ou comportamento indevido no tráfego DNS Podem ocorrer por: – Má-configuração de servidores – Má-utilização do protocolo – Ações maliciosas

8 Anomalias no protocolo DNS Typo Squatter – Uso de URLs incorretas para fins maliciosos (phishing). Uso indevido de endereço privado (RFC 1918) – Respostas contendo endereços IP não-roteáveis. DNS Rebind Darknets Fast Flux Domains

9 Anomalias no protocolo DNS: Fast Flux Domains Domínios que mudam rapidamente seus endereços (TTL baixo). Muito utilizado por worms na composição de botnets, também chamada de Fast Flux Service Network (FFSN). Características semelhantes a serviços legítimos, como: – Round Robin DNS – CDN (Content Delivery Network)

10 Anomalias no protocolo DNS: Fast Flux Domains

11 Algoritmo sugerido por Holz [1] Baseia-se nas características que distinguem FFSN de CDN e RRDNS: – Diversidade de endereços IP – Falta de controle físico sobre o flux-agent Detecção de anomalias: Fast Flux Domains

12 Dois parâmetros: – n A – número de endereços IP distintos retornados para consultas de um mesmo domínio. – n ASN – número de ASNs distintos dos endereços IP retornados para consultas de um mesmo domínio. Métrica: equação de flux-score

13 Captura – Lê arquivos de captura de tráfego. – Obtêm apenas informações relevantes. Base – Comunicação com a base Análise – identifica padrão de anomalia Detecção de anomalias: Implementação

14 Detecção de anomalias: Execução

15 Corretude funcional do software. Tráfego anômalo simulado em laboratório. Domínios maliciosos extraídos do ATLAS da Arbor Network [2] Resultados: Validação

16 Tráfego real capturado nos laboratórios do Grupo de Pesquisa em Redes e Telecomunicações (GPRT) do Centro de Informática (CIn). Duas semanas. Resultados: Experimentação

17 Quantidade de respostas por faixa de TTL

18 Falso positivos – Muitos domínios legítimos foram alertados como anômalos. – Maioria do domínio akamai.net, pertencente a um CDN Famoso, Akamai Technologies [3] Resultados: Experimentação

19 n A muito variável tem em domínios legítimos. Consultas acumuladas causam aumento do flux-score. n ASN se mostrou mais eficaz na indicação de FFSN. Discussões

20 Trabalhos Futuros Alterar e testar o algoritmo de detecção de FFSN. Agregar à ferramenta a detecção de outras anomalias. Adaptar a ferramenta para a detecção de anomalias em tempo real (online).

21 Conclusões O protocolo DNS se tornou um importante alerta de ameaças a internet O uso de Fast Flux Domains é crescente e seu estudo ainda é escasso. Muitas anomalias ainda faltam ser estudadas e combatidas.

22 Perguntas e Respostas

23 Referências [1] T. Holz, C. Gorecki, K. Rieck, and F. C. Freiling. Measuring and Detecting Fast-Flux Service Networks. In Proceedings of the 15th Annual Network & Distributed System Security Symposium (NDSS), [2] ATLAS Summary Report: Global Fast Flux, [3] Akamai Technologies,


Carregar ppt "Detecção de anomalias no protocolo DNS Trabalho de Graduação Rodrigo Diego Melo Amorim Orientador: Djamel Sadok Co-orientador: Eduardo Feitosa."

Apresentações semelhantes


Anúncios Google