A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/2001 -1 Detecção de ataques em Backbones IP através do Netflow Autor:

PublicouIsabela Farinha Alterado mais de 9 anos atrás

Apresentações semelhantes

Apresentação em tema: "Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/2001 -1 Detecção de ataques em Backbones IP através do Netflow Autor:"— Transcrição da apresentação:

1 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/2001 -1 Detecção de ataques em Backbones IP através do Netflow Autor: Claus Rugani Töpke claus@ravel.ufrj.br www.coppe.ufrj.br www.ravel.ufrj.br

2 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/2001 -2 Sumário 1 - Objetivo; 2 - Definições; 3 - Meios para a Detecção; 4 - O funcionamento do BPF; 5 - O funcionamento do Netflow; 6 - Implementação do detector; 7 - Conclusões.

3 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/2001 -3 Objetivo Ilustrar os métodos de detecção de ataques em Backbones IP. Apresentar uma implementação utilizando o NetFlow.

4 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/2001 -4 Definições (Backbone)

5 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/2001 -5 Definições (Tipos de Fluxo)

6 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/2001 -6 Definições (Ataques a serem detectados) 1 - Flood IP; 2 - DoS (ou Distribuido); 3 - ICMP Scan; 4 - Port Scan (UDP e TCP); Backdoor scan, service scan... 5 - Spoofing;

7 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/2001 -7 Meios para detecção 1 - RMON; 2 - IP Accounting; 3 - IP CEF Accounting; 4 - BGP Accounting; 5 - BPF (BSD Packet Filter); 5 - Netflow;

8 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/2001 -8 O funcionamento do BPF Network Kernel Usuário Nível Programação da máquina de estado Filtro Buffer /dev/bpf... Filtro Buffer Link-layer driver Protocol Stack Link-layer driver... libpcap BPF *BSD = Berkeley Software Distribution snorttcpdump

9 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/2001 -9 O funcionamento do Netflow (sem NetFlow) Procura na ACL Envia para saída Pacote chega pela interface Desvia ou filtra Procura na tabela de roteamento ou cache Procura na tabela de roteamento ou cache identificando a interface de saída, depois procura na ACL.

10 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/2001 -10 O funcionamento do Netflow (com NetFlow) Procura na ACL Envia para saída Pacote chega pela interface Desvia ou filtra Procura na tabela de roteamento ou cache procura cache de fluxos tabela cache de fluxos Exportação Para o coletor Procura na tabela de roteamento ou cache Procura no cache de fluxos Tabela BGP

11 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/2001 -11 O funcionamento do Netflow (com NetFlow)

12 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/2001 -12 Funcionamento do Netflow (quando exportar ?) tabela cache de fluxos Exportação Para o coletor 1 - Tabela cheia; 2 - Tempo grande do fluxo (default 30min); 3 - Tempo inativo grande (default 15s); 4 - Identificação do final do fluxo (TCP FIN ou RST); http://www.cisco.com/univercd/cc/td/doc/cisintwk/intsolns/netflsol/nfwhite.htm Tabela BGP

13 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/2001 -13 Funcionamento do Netflow (quando exportar ?)

14 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/2001 -14 Funcionamento do Netflow (tipos de fluxos exportados) * * - Linha Catalyst

15 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/2001 -15 Funcionamento do Netflow (tipos de fluxos exportados) Versão 1 Versão 5 ~Versão 7 (router shortcut)

16 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/2001 -16 Backbone IP Conexão FastEthernet “clientes” export flow UDP Máquina Coletora export flow UDP PR AR “clientes” Backbone B AR Backbone A Funcionamento do Netflow (método de envio dos fluxos)

17 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/2001 -17 Implementação Utilizando Netflow Identificação dos ataques 1- Fluxo (grande) para IP destino com média do tamanho dos pacotes pequeno ( <100 bytes ); 2- Fluxo (grande) para IP destino com média do tamanho dos pacotes grande ( = 1500bytes); 3- Muitos fluxos com IP destino fixo e IP origem variando; 4- Muitos fluxos com IP destino fixo, IP origem fixo e portas destino variando; 5- Muitos fluxos com IP destino fixo, IP origem fixo e portas origem variando; 6- Assimetricidade grande de tráfego (fluxo de saída e entrada – pode se utilizar MIB Octets);

18 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/2001 -18 Implementação Utilizando Netflow Identificação dos ataques 7- Assimetricidade dos fluxos ( fluxo de saída não corresponde a respostas do fluxo de entrada e vice-versa); 8- Tráfego maior que a capacidade do AL (necessário consulta a MIB do AR ou base de dados); 9- Tráfego ICMP ou SNMP excessivo (necessário avaliar histograma de protocolos); 10- Tráfego de uma porta UDP ou TCP (necessário avaliar histograma de portas); 11- TCP flags em estado anormal (SYN constante ou combinações estranhas)*; * - Discussão das TCP Flags no Capítulo 8 do www.ravel.ufrj.br/~claus/Msc/tese.ps.gz

19 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/2001 -19 Implementação Utilizando Netflow Construção básica de detector - Tabela HASH: - A chave pode ser: - O IP destino; - A rede destino (ver tabela IGP); - As redes destino apontadas para o AR;

20 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/2001 -20 Implementação Utilizando Netflow - PERL (fácil implementação/lento para hashes grandes); - C++ ( rapidez utilizando maps e multimaps ); - C ( rapidez, necessário criar hash ou utilizar libliotecas); Construção do detector

21 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/2001 -21 Implementação Utilizando Netflow typedef struct { uint32_t Pkts; uint32_t Bytes; ipv4addr_t Router; ipv4addr_t SrcIP; uint16_t DstPort; uint16_t SrcPort; uint16_t IfIndexSrc; uint16_t IfIndexDst; uint8_t Proto; uint16_t Asn; } CrtTblType, *CrtTblTypePtr ; typedef map CrtTblMap; CrtTblMap ExampleCrtTbl; Utilizando C++

22 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/2001 -22 Implementação Utilizando Netflow Tamanho do pacote para a rede destino (resposta 10minutos) Tráfego em bytes para a rede destino (resposta 1minutos) Fluxos por IP destino (resposta 1minutos) Tráfego em pacotes para a rede destino (resposta 1minutos) Problema => muitas vezes o fluxo tem que acabar para ser exportado... Tempo de resposta

23 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/2001 -23 Conclusões, Perguntas e Discussões

24 Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/2001 -24 http://www.pdos.lcs.mit.edu/thomer/mit/multops_usenix2001.pdf http://www.net.ohio-state.edu/security/talks/2000-02-09_ddos-and-netflow_oartech/oartech.pdf Referências http://www.cisco.com/univercd/cc/td/doc/product/software/ios121/121newft/121t/121t5/tms.htm http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/ fswtch_c/swprt1/xcfcefc.htm http://www.hpovua.org/PUBLICATIONS/PROCEEDINGS/8_HPOVUAWS/Papers/ Paper02.4-Kotsokalis-Router.pdf http://www.switch.ch/tf-tant/floma/frankfurt/floma.html ftp://ftp.ee.lbl.gov/papers/bpf-usenix93.ps.Z

Carregar ppt "Detecção de ataques em Backbones IP através do Netflow - Claus Rugani Töpke - 23/09/2001 -1 Detecção de ataques em Backbones IP através do Netflow Autor:"

Apresentações semelhantes

Redes de computadores I

Redes de computadores I
3. Mapeamento de Endereço Físico em endereço de rede

3. Mapeamento de Endereço Físico em endereço de rede
Ferramentas Livres para Gerência de Redes e Sistemas Finais

Ferramentas Livres para Gerência de Redes e Sistemas Finais
Rede Local - Instalação

Rede Local - Instalação
Bruno Rafael de Oliveira Rodrigues

Bruno Rafael de Oliveira Rodrigues
Aula Teste INFNET terça-feira, 11 de janeiro de 2011

Aula Teste INFNET terça-feira, 11 de janeiro de 2011
Ferramenta de aprovisionamento de redes de cliente

Ferramenta de aprovisionamento de redes de cliente
TC – DEI, 2005/2006 » THE NETWORK IS THE COMPUTER « Sun Microsystems Motto.

TC – DEI, 2005/2006 » THE NETWORK IS THE COMPUTER « Sun Microsystems Motto.
Redes de Computadores A Camada de Rede.

Redes de Computadores A Camada de Rede.
Firewall Campus Cachoeiro Curso Técnico em Informática

Firewall Campus Cachoeiro Curso Técnico em Informática
Professor: João Paulo de Brito Gonçalves Curso Técnico de Informática

Professor: João Paulo de Brito Gonçalves Curso Técnico de Informática
1 Camada de redes: Interoperabilidade com IP. 2 Enlaces entre duas máquinas.

1 Camada de redes: Interoperabilidade com IP. 2 Enlaces entre duas máquinas.
Exercícios de Roteamento BackBone IP

Exercícios de Roteamento BackBone IP
Exercícios de Roteamento BackBone IP

Exercícios de Roteamento BackBone IP
Exercícios de Revisão Redes de Computadores Edgard Jamhour

Exercícios de Revisão Redes de Computadores Edgard Jamhour
Configuração TCP-IP.

Configuração TCP-IP.
Introdução Redes LAN - abrangência: edifícios e campos.

Introdução Redes LAN - abrangência: edifícios e campos.
DNS Introdução.

DNS Introdução.
Crescimento Econômico Brasileiro : Uma Visão Comparada de Longo Prazo Prof. Giácomo Balbinotto Neto UFRGS.

Crescimento Econômico Brasileiro : Uma Visão Comparada de Longo Prazo Prof. Giácomo Balbinotto Neto UFRGS.
Como a Internet Funciona por Walfredo Cirne. As Três Grandes Camadas Conexão física –Possibilita a transmissão de bits entre máquinas conectadas diretamente.

Como a Internet Funciona por Walfredo Cirne. As Três Grandes Camadas Conexão física –Possibilita a transmissão de bits entre máquinas conectadas diretamente.

Apresentações semelhantes

Anúncios Google