Detecção de anomalias no protocolo DNS Trabalho de Graduação Rodrigo Diego Melo Amorim Orientador: Djamel Sadok Co-orientador: Eduardo Feitosa
Agenda Motivação Objetivos Conceitos Básicos Detecção de anomalias Resultados Discussões Trabalhos Futuros Conclusões
Motivação Ameaças existentes na Internet DNS: Importância e dependência para a Internet Efeitos das ameaças no seu tráfego Fragilidade não percebida durante projeto
Objetivos Estudar anomalias mais comuns no protocolo DNS. Implementar e analisar uma técnica de detecção de anomalias no protocolo DNS. Propor melhorias.
O protocolo DNS Serviço inerente à Internet Tradução de nomes em endereços IP Espaço de endereçamento hierárquico Resolução de nomes Iterativa Recursiva Caching TTL (Time-To-Live)
O protocolo DNS
Anomalias no protocolo DNS Perturbação ou comportamento indevido no tráfego DNS Podem ocorrer por: Má-configuração de servidores Má-utilização do protocolo Ações maliciosas
Anomalias no protocolo DNS Typo Squatter Uso de URL’s incorretas para fins maliciosos (phishing). Uso indevido de endereço privado (RFC 1918) Respostas contendo endereços IP não-roteáveis. DNS Rebind Darknets Fast Flux Domains
Anomalias no protocolo DNS: Fast Flux Domains Domínios que mudam rapidamente seus endereços (TTL baixo). Muito utilizado por worms na composição de botnets, também chamada de Fast Flux Service Network (FFSN). Características semelhantes a serviços legítimos, como: Round Robin DNS CDN (Content Delivery Network)
Anomalias no protocolo DNS: Fast Flux Domains
Detecção de anomalias: Fast Flux Domains Algoritmo sugerido por Holz [1] Baseia-se nas características que distinguem FFSN de CDN e RRDNS: Diversidade de endereços IP Falta de controle físico sobre o flux-agent
Detecção de anomalias: Fast Flux Domains Dois parâmetros: nA – número de endereços IP distintos retornados para consultas de um mesmo domínio. nASN – número de ASN’s distintos dos endereços IP retornados para consultas de um mesmo domínio. Métrica: equação de flux-score
Detecção de anomalias: Implementação Captura Lê arquivos de captura de tráfego. Obtêm apenas informações relevantes. Base Comunicação com a base Análise identifica padrão de anomalia
Detecção de anomalias: Execução
Resultados: Validação Corretude funcional do software. Tráfego anômalo simulado em laboratório. Domínios maliciosos extraídos do ATLAS da Arbor Network [2]
Resultados: Experimentação Tráfego real capturado nos laboratórios do Grupo de Pesquisa em Redes e Telecomunicações (GPRT) do Centro de Informática (CIn). Duas semanas.
Resultados: Experimentação Quantidade de respostas por faixa de TTL
Resultados: Experimentação Falso positivos Muitos domínios legítimos foram alertados como anômalos. Maioria do domínio akamai.net, pertencente a um CDN Famoso, Akamai Technologies [3]
Discussões nA muito variável tem em domínios legítimos. Consultas acumuladas causam aumento do flux-score. nASN se mostrou mais eficaz na indicação de FFSN.
Trabalhos Futuros Alterar e testar o algoritmo de detecção de FFSN. Agregar à ferramenta a detecção de outras anomalias. Adaptar a ferramenta para a detecção de anomalias em tempo real (online).
Conclusões O protocolo DNS se tornou um importante alerta de ameaças a internet O uso de Fast Flux Domains é crescente e seu estudo ainda é escasso. Muitas anomalias ainda faltam ser estudadas e combatidas.
Perguntas e Respostas
Referências [1] T. Holz, C. Gorecki, K. Rieck, and F. C. Freiling. Measuring and Detecting Fast-Flux Service Networks. In Proceedings of the 15th Annual Network & Distributed System Security Symposium (NDSS), 2008. [2] ATLAS Summary Report: Global Fast Flux, http://atlas.arbor.net/summary/fastflux [3] Akamai Technologies, http://www.akamai.com/.