Detecção de anomalias no protocolo DNS

Slides:



Advertisements
Apresentações semelhantes
Capítulo 2: Camada de Aplicação
Advertisements

3. Mapeamento de Endereço Físico em endereço de rede
Servidor de DNS Profº Marcio Funes.
Universal Plug And Play Integrando inteligências computacionais por Marcio Belo R. Silva 7 de agosto de 2002 Orientador: Prof. Orlando Loques UFF - Universidade.
Atravessando Firewalls em IP Móvel
Rede Local Instalação de Software Base
Roteamento IP.
Disciplina: Gerência de Redes Profa. Ana Cristina Benso da Silva
Eduardo Fonseca de Andréa
DNS: Domain Name System
DNS Introdução.
Gerenciamento de dispositivos
Tele-Processamento e Redes (Redes de Computadores) Prof. Fábio Moreira Costa Universidade Federal de Goiás Instituto de Informática Curso de Ciência da.
DNS Suporte - DI.
Simple Network Management Protocol (SNMP)
Ferramenta para teste de software
Michele Mara de Araújo Espíndula Lima
Lucas Bondan, Maicon Kist, Rafael Kunst, Cristiano B
Utilitários de Redes Prof. Andréa Chicri Torga Adaptações
Astaro Security Gateway Segurança da Informação Dezembro 2008 Vitor Pereira de Freitas CEFET-MT.
Sistemas de Detecção de Intrusão
Firewall – Segurança nas redes
Sistemas de Detecção de Intrusão
Características Técnicas e Operacionais
Gerhard M¨unz, Sa Li, Georg Carle Computer Networks and Internet Wilhelm Schickard Institute for Computer Science University of Tuebingen, Germany Traffic.
DNS (Domain Name System) Sistema de Nomes de Domínios
Redes Aula 7 Professor: Marcelo Maia.
GERENCIAMENTO DE REDES UTILIZANDO O PROTOCOLO SNMP
3 – Agentes e 4 – Multiagentes
Fluxo Normal ou Ataque.
1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;
T RAFFIC C ONTROL THROUGH B ILATERAL C OOPERATION BETWEEN N ETWORK O PERATORS AND P EERS IN P2P N ETWORKS Controle de tráfego por meio de Cooperação Bilateral.
Ferramentas de Gerenciamento Aula 3
INTRODUÇÃO A REDES DE COMPUTADORES ACADÊMICOS CARLOS EDUARDO ARAKAKI CARLOS EDUARDO ARAKAKI RODRIGO MARCIANO POUSO RODRIGO MARCIANO POUSOPROFESSOR RONALDO.
MESTRADO EM REDES DE COMPUTADORES
DHCP Attacks Adelson Gomes João Lucas Leandro Luiz.
Redes de Computadores I Prof. Mateus Raeder Universidade do Vale do Rio dos Sinos - São Leopoldo -
Aula 1 - Fundamentos Web Servidor
Maria Alessandra Dubowski Nascimento
Camada de redes: entrega, encaminhamento e roteamento.
REDES DE COMPUTADORES CONCEITOS E TÓPICOS RELACIONADOS A REDES DE COMPUTADORES ________________________________________________ Redes – Prof. Roni Márcio.
Domain Name System - Sistema de Nomes de Domínios
Detecção da Bola em Vídeos de Futebol Universidade Federal de Pernambuco Centro de Informática Computação Gráfica – Acompanhamento de Projeto Luiz Felipe.
1 Universidade Federal de Santa Catarina Uma Ferramenta de Suporte a Simulação de Redes com o ns-2 Adriano Orlando Campestrini Florianópolis
Redes de Computadores I Prof. Mateus Raeder Universidade do Vale do Rio dos Sinos - São Leopoldo -
ANTONIO LIMEIRA EDUARDO FRANKLIN LUCAS ARANHA RANIERI VALENÇA RODRIGO PIGATTI DNS.
Camada de Transporte: protocolo UDP
STUN – Simple Traversal of UDP Through NATs
Disciplina: Comunicação de Dados Ricardo Bento 12ºL nº11.
ENIA 2001/SBC Fortaleza, CE 30/07 a 03/ ActiveSearch Um Agente Pró-ativo para Recuperação de Documentos Similares em Repositórios Digitais.
VII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais RJ - Brasil Avaliação de Proteção contra Ataques de Negação de Serviço.
Escola Secundaria Sebastião da gama Comunicação de dados Prof: Carlos Pereira Nome :André Santos Ano/Turma:12ºL Nº:2 IP Dinâmico, IP Fixo e DNS.
Termos – redes de computadores
Tema 07: A camada de aplicação: protocolos HTTP, SMTP, DNS, FTP
Redes de Computadores I Prof. Mateus Raeder Universidade do Vale do Rio dos Sinos - São Leopoldo -
IP/DNS NUNO BANDOLA COMUNICAÇÃO DE DADOS CARLOS PEREIRA.
Serviços de rede e internet Jackson Eduardo da Silva.
PROTOCOLOS DE REDE Endereço Real e Reservado
Ataque ao DNS.
Informática Industrial N8INF
Hiperconectado e exigente: Entenda o novo perfil do usuário de internet Ricardo Zovaro | Diretor de Vendas LATAM, Exceda.
Network Anomaly Detection Using Autonomous System Flow Aggregates Thienne Johnson and Loukas Lazos Department of Electrical and Computer Engineering University.
Faixa de Numeros IP O endereço IP, na versão 4 do IP (IPv4), é um número de 32 bits oficialmente escrito com quatro octetos (Bytes) representados no formato.
Detecção de tráfego Skype na Web através de Redes Neurais Artigo Original: Freire, P. E., Ziviani, A., and Salles, R. M. (2008). Detecting skype flows.
1 Especificação de Sistemas de Software e a UML. 2 Modelagem de sistema A modelagem de sistema auxilia o analista a entender a funcionalidade do sistema.
UNIVERSIDADE CATÓLICA DE PELOTAS CENTRO POLITÉCNICO CURSO DE CIÊNCIA DA COMPUTAÇÃO Redes de Computadores Ferramenta NTop (Network Traffic Probe) Explorador.
Informática Industrial IFDJ6 Prof. Dr. Cesar da Costa 3.a Aula: Rede Ethernet - Padrão TCP/IP.
Turma: Tecnologia em Redes de Computadores – 6° Semestre Nome: Leonardo Pinto Martins Orientador: Rafael de Figueiredo Rodrigues Alta disponibilidade com.
Sistemas Operacionais de Redes DNS
Capítulo 2 Redes de computadores e a Internet Camada de aplicação Prof. Gustavo Wagner.
Transcrição da apresentação:

Detecção de anomalias no protocolo DNS Trabalho de Graduação Rodrigo Diego Melo Amorim Orientador: Djamel Sadok Co-orientador: Eduardo Feitosa

Agenda Motivação Objetivos Conceitos Básicos Detecção de anomalias Resultados Discussões Trabalhos Futuros Conclusões

Motivação Ameaças existentes na Internet DNS: Importância e dependência para a Internet Efeitos das ameaças no seu tráfego Fragilidade não percebida durante projeto

Objetivos Estudar anomalias mais comuns no protocolo DNS. Implementar e analisar uma técnica de detecção de anomalias no protocolo DNS. Propor melhorias.

O protocolo DNS Serviço inerente à Internet Tradução de nomes em endereços IP Espaço de endereçamento hierárquico Resolução de nomes Iterativa Recursiva Caching TTL (Time-To-Live)

O protocolo DNS

Anomalias no protocolo DNS Perturbação ou comportamento indevido no tráfego DNS Podem ocorrer por: Má-configuração de servidores Má-utilização do protocolo Ações maliciosas

Anomalias no protocolo DNS Typo Squatter Uso de URL’s incorretas para fins maliciosos (phishing). Uso indevido de endereço privado (RFC 1918) Respostas contendo endereços IP não-roteáveis. DNS Rebind Darknets Fast Flux Domains

Anomalias no protocolo DNS: Fast Flux Domains Domínios que mudam rapidamente seus endereços (TTL baixo). Muito utilizado por worms na composição de botnets, também chamada de Fast Flux Service Network (FFSN). Características semelhantes a serviços legítimos, como: Round Robin DNS CDN (Content Delivery Network)

Anomalias no protocolo DNS: Fast Flux Domains

Detecção de anomalias: Fast Flux Domains Algoritmo sugerido por Holz [1] Baseia-se nas características que distinguem FFSN de CDN e RRDNS: Diversidade de endereços IP Falta de controle físico sobre o flux-agent

Detecção de anomalias: Fast Flux Domains Dois parâmetros: nA – número de endereços IP distintos retornados para consultas de um mesmo domínio. nASN – número de ASN’s distintos dos endereços IP retornados para consultas de um mesmo domínio. Métrica: equação de flux-score

Detecção de anomalias: Implementação Captura Lê arquivos de captura de tráfego. Obtêm apenas informações relevantes. Base Comunicação com a base Análise identifica padrão de anomalia

Detecção de anomalias: Execução

Resultados: Validação Corretude funcional do software. Tráfego anômalo simulado em laboratório. Domínios maliciosos extraídos do ATLAS da Arbor Network [2]

Resultados: Experimentação Tráfego real capturado nos laboratórios do Grupo de Pesquisa em Redes e Telecomunicações (GPRT) do Centro de Informática (CIn). Duas semanas.

Resultados: Experimentação Quantidade de respostas por faixa de TTL

Resultados: Experimentação Falso positivos Muitos domínios legítimos foram alertados como anômalos. Maioria do domínio akamai.net, pertencente a um CDN Famoso, Akamai Technologies [3]

Discussões nA muito variável tem em domínios legítimos. Consultas acumuladas causam aumento do flux-score. nASN se mostrou mais eficaz na indicação de FFSN.

Trabalhos Futuros Alterar e testar o algoritmo de detecção de FFSN. Agregar à ferramenta a detecção de outras anomalias. Adaptar a ferramenta para a detecção de anomalias em tempo real (online).

Conclusões O protocolo DNS se tornou um importante alerta de ameaças a internet O uso de Fast Flux Domains é crescente e seu estudo ainda é escasso. Muitas anomalias ainda faltam ser estudadas e combatidas.

Perguntas e Respostas

Referências [1] T. Holz, C. Gorecki, K. Rieck, and F. C. Freiling. Measuring and Detecting Fast-Flux Service Networks. In Proceedings of the 15th Annual Network & Distributed System Security Symposium (NDSS), 2008. [2] ATLAS Summary Report: Global Fast Flux, http://atlas.arbor.net/summary/fastflux [3] Akamai Technologies, http://www.akamai.com/.

Feedback: Política de Privacidade Feedback
Sobre projeto: SlidePlayer Termos de uso

© 2024 SlidePlayer.com.br Inc. All rights reserved.