Carregar apresentação
A apresentação está carregando. Por favor, espere
1
Detecção de anomalias no protocolo DNS
Trabalho de Graduação Rodrigo Diego Melo Amorim Orientador: Djamel Sadok Co-orientador: Eduardo Feitosa
2
Agenda Motivação Objetivos Conceitos Básicos Detecção de anomalias
Resultados Discussões Trabalhos Futuros Conclusões
3
Motivação Ameaças existentes na Internet DNS:
Importância e dependência para a Internet Efeitos das ameaças no seu tráfego Fragilidade não percebida durante projeto
4
Objetivos Estudar anomalias mais comuns no protocolo DNS.
Implementar e analisar uma técnica de detecção de anomalias no protocolo DNS. Propor melhorias.
5
O protocolo DNS Serviço inerente à Internet
Tradução de nomes em endereços IP Espaço de endereçamento hierárquico Resolução de nomes Iterativa Recursiva Caching TTL (Time-To-Live)
6
O protocolo DNS
7
Anomalias no protocolo DNS
Perturbação ou comportamento indevido no tráfego DNS Podem ocorrer por: Má-configuração de servidores Má-utilização do protocolo Ações maliciosas
8
Anomalias no protocolo DNS
Typo Squatter Uso de URL’s incorretas para fins maliciosos (phishing). Uso indevido de endereço privado (RFC 1918) Respostas contendo endereços IP não-roteáveis. DNS Rebind Darknets Fast Flux Domains
9
Anomalias no protocolo DNS: Fast Flux Domains
Domínios que mudam rapidamente seus endereços (TTL baixo). Muito utilizado por worms na composição de botnets, também chamada de Fast Flux Service Network (FFSN). Características semelhantes a serviços legítimos, como: Round Robin DNS CDN (Content Delivery Network)
10
Anomalias no protocolo DNS: Fast Flux Domains
11
Detecção de anomalias: Fast Flux Domains
Algoritmo sugerido por Holz [1] Baseia-se nas características que distinguem FFSN de CDN e RRDNS: Diversidade de endereços IP Falta de controle físico sobre o flux-agent
12
Detecção de anomalias: Fast Flux Domains
Dois parâmetros: nA – número de endereços IP distintos retornados para consultas de um mesmo domínio. nASN – número de ASN’s distintos dos endereços IP retornados para consultas de um mesmo domínio. Métrica: equação de flux-score
13
Detecção de anomalias: Implementação
Captura Lê arquivos de captura de tráfego. Obtêm apenas informações relevantes. Base Comunicação com a base Análise identifica padrão de anomalia
14
Detecção de anomalias: Execução
15
Resultados: Validação
Corretude funcional do software. Tráfego anômalo simulado em laboratório. Domínios maliciosos extraídos do ATLAS da Arbor Network [2]
16
Resultados: Experimentação
Tráfego real capturado nos laboratórios do Grupo de Pesquisa em Redes e Telecomunicações (GPRT) do Centro de Informática (CIn). Duas semanas.
17
Resultados: Experimentação
Quantidade de respostas por faixa de TTL
18
Resultados: Experimentação
Falso positivos Muitos domínios legítimos foram alertados como anômalos. Maioria do domínio akamai.net, pertencente a um CDN Famoso, Akamai Technologies [3]
19
Discussões nA muito variável tem em domínios legítimos.
Consultas acumuladas causam aumento do flux-score. nASN se mostrou mais eficaz na indicação de FFSN.
20
Trabalhos Futuros Alterar e testar o algoritmo de detecção de FFSN.
Agregar à ferramenta a detecção de outras anomalias. Adaptar a ferramenta para a detecção de anomalias em tempo real (online).
21
Conclusões O protocolo DNS se tornou um importante alerta de ameaças a internet O uso de Fast Flux Domains é crescente e seu estudo ainda é escasso. Muitas anomalias ainda faltam ser estudadas e combatidas.
22
Perguntas e Respostas
23
Referências [1] T. Holz, C. Gorecki, K. Rieck, and F. C. Freiling. Measuring and Detecting Fast-Flux Service Networks. In Proceedings of the 15th Annual Network & Distributed System Security Symposium (NDSS), 2008. [2] ATLAS Summary Report: Global Fast Flux, [3] Akamai Technologies,
Apresentações semelhantes
