A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/2001 -1 Detecção de ataques em Backbones IP através do Netflow Autor:

Apresentações semelhantes


Apresentação em tema: "Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/2001 -1 Detecção de ataques em Backbones IP através do Netflow Autor:"— Transcrição da apresentação:

1 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/ Detecção de ataques em Backbones IP através do Netflow Autor: Claus Rugani Töpke

2 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/ Sumário 1 - Objetivo; 2 - Definições; 3 - Meios para a Detecção; 4 - O funcionamento do BPF; 5 - O funcionamento do Netflow; 6 - Implementação do detector; 7 - Conclusões.

3 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/ Objetivo Ilustrar os métodos de detecção de ataques em Backbones IP. Apresentar uma implementação utilizando o NetFlow.

4 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/ Definições (Backbone)

5 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/ Definições (Tipos de Fluxo)

6 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/ Definições (Ataques a serem detectados) 1 - Flood IP; 2 - DoS (ou Distribuido); 3 - ICMP Scan; 4 - Port Scan (UDP e TCP); Backdoor scan, service scan Spoofing;

7 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/ Meios para detecção 1 - RMON; 2 - IP Accounting; 3 - IP CEF Accounting; 4 - BGP Accounting; 5 - BPF (BSD Packet Filter); 5 - Netflow;

8 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/ O funcionamento do BPF Network Kernel Usuário Nível Programação da máquina de estado Filtro Buffer /dev/bpf... Filtro Buffer Link-layer driver Protocol Stack Link-layer driver... libpcap BPF *BSD = Berkeley Software Distribution snorttcpdump

9 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/ O funcionamento do Netflow (sem NetFlow) Procura na ACL Envia para saída Pacote chega pela interface Desvia ou filtra Procura na tabela de roteamento ou cache Procura na tabela de roteamento ou cache identificando a interface de saída, depois procura na ACL.

10 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/ O funcionamento do Netflow (com NetFlow) Procura na ACL Envia para saída Pacote chega pela interface Desvia ou filtra Procura na tabela de roteamento ou cache procura cache de fluxos tabela cache de fluxos Exportação Para o coletor Procura na tabela de roteamento ou cache Procura no cache de fluxos Tabela BGP

11 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/ O funcionamento do Netflow (com NetFlow)

12 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/ Funcionamento do Netflow (quando exportar ?) tabela cache de fluxos Exportação Para o coletor 1 - Tabela cheia; 2 - Tempo grande do fluxo (default 30min); 3 - Tempo inativo grande (default 15s); 4 - Identificação do final do fluxo (TCP FIN ou RST); Tabela BGP

13 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/ Funcionamento do Netflow (quando exportar ?)

14 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/ Funcionamento do Netflow (tipos de fluxos exportados) * * - Linha Catalyst

15 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/ Funcionamento do Netflow (tipos de fluxos exportados) Versão 1 Versão 5 ~Versão 7 (router shortcut)

16 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/ Backbone IP Conexão FastEthernet “clientes” export flow UDP Máquina Coletora export flow UDP PR AR “clientes” Backbone B AR Backbone A Funcionamento do Netflow (método de envio dos fluxos)

17 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/ Implementação Utilizando Netflow Identificação dos ataques 1- Fluxo (grande) para IP destino com média do tamanho dos pacotes pequeno ( <100 bytes ); 2- Fluxo (grande) para IP destino com média do tamanho dos pacotes grande ( = 1500bytes); 3- Muitos fluxos com IP destino fixo e IP origem variando; 4- Muitos fluxos com IP destino fixo, IP origem fixo e portas destino variando; 5- Muitos fluxos com IP destino fixo, IP origem fixo e portas origem variando; 6- Assimetricidade grande de tráfego (fluxo de saída e entrada – pode se utilizar MIB Octets);

18 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/ Implementação Utilizando Netflow Identificação dos ataques 7- Assimetricidade dos fluxos ( fluxo de saída não corresponde a respostas do fluxo de entrada e vice-versa); 8- Tráfego maior que a capacidade do AL (necessário consulta a MIB do AR ou base de dados); 9- Tráfego ICMP ou SNMP excessivo (necessário avaliar histograma de protocolos); 10- Tráfego de uma porta UDP ou TCP (necessário avaliar histograma de portas); 11- TCP flags em estado anormal (SYN constante ou combinações estranhas)*; * - Discussão das TCP Flags no Capítulo 8 do

19 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/ Implementação Utilizando Netflow Construção básica de detector - Tabela HASH: - A chave pode ser: - O IP destino; - A rede destino (ver tabela IGP); - As redes destino apontadas para o AR;

20 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/ Implementação Utilizando Netflow - PERL (fácil implementação/lento para hashes grandes); - C++ ( rapidez utilizando maps e multimaps ); - C ( rapidez, necessário criar hash ou utilizar libliotecas); Construção do detector

21 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/ Implementação Utilizando Netflow typedef struct { uint32_t Pkts; uint32_t Bytes; ipv4addr_t Router; ipv4addr_t SrcIP; uint16_t DstPort; uint16_t SrcPort; uint16_t IfIndexSrc; uint16_t IfIndexDst; uint8_t Proto; uint16_t Asn; } CrtTblType, *CrtTblTypePtr ; typedef map CrtTblMap; CrtTblMap ExampleCrtTbl; Utilizando C++

22 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/ Implementação Utilizando Netflow Tamanho do pacote para a rede destino (resposta 10minutos) Tráfego em bytes para a rede destino (resposta 1minutos) Fluxos por IP destino (resposta 1minutos) Tráfego em pacotes para a rede destino (resposta 1minutos) Problema => muitas vezes o fluxo tem que acabar para ser exportado... Tempo de resposta

23 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/ Conclusões, Perguntas e Discussões

24 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/ Referências fswtch_c/swprt1/xcfcefc.htm Paper02.4-Kotsokalis-Router.pdf ftp://ftp.ee.lbl.gov/papers/bpf-usenix93.ps.Z


Carregar ppt "Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/2001 -1 Detecção de ataques em Backbones IP através do Netflow Autor:"

Apresentações semelhantes


Anúncios Google