BME HIT Crysys.hu Bencsáth Boldizsár 2004 1

A hálózati vírusvédelem és a szolgáltatásmegtagadásos

támadások elleni védekezés problémái és kapcsolatai

Boldizsár BENCSÁTHBME HIT

Laboratory of Cryptography and Systems Security

BME HIT Crysys.hu Bencsáth Boldizsár 2004 2

•E-mail vírusvédelem Linux alapon

•DoS problémák a védelem területén

•Kísérleti megoldás

Tematika

BME HIT Crysys.hu Bencsáth Boldizsár 2004 3

Vírusvédelem fontossága

Trend Micro:

2003. 1. negyedév: 35 riasztás

2004. 1. negyedév: 232 riasztás

(iTnews) WORM_NETSKY.P WORM_NETSKY.D WORM_NETSKY.B WORM_NETSKY.Q WORM_NETSKY.C PE_VALLA.A WORM_MOFEI.B WORM_LOVGATE.G PE_NIMDA.E WORM_BAGLE.GEN-1

BME HIT Crysys.hu Bencsáth Boldizsár 2004 4

Alapstruktúrák

MTA integrált vírusírtással

„alig” megkülönböztethető komponensek

Internet

BME HIT Crysys.hu Bencsáth Boldizsár 2004 5

Alapstruktúrák

Dual MTA struktúra

két önálló kiszolgáló, az egyik a vírusvédelemért felelős, a másik a kézbesítésért

vírusszűrő MTA/MDA

BME HIT Crysys.hu Bencsáth Boldizsár 2004 6

Alapstruktúrák

Dual MTA struktúra middleware-rel

KillVir

relaying,TLS, Auth, domainek

local MDA,kiküldés,virtual mailboxalieses

vírus, spamkeresés

BME HIT Crysys.hu Bencsáth Boldizsár 2004 7

Alapstruktúrák

A 0.0.0.0 25 , 10025 lehet akár azonos processz is,

de lehet két teljesen önálló MTA entitás (pl. Qmail), vagy akár két különböző termék is.

KillVir

0.0.0.0 25 127.0.0.1 10025

127.0.0.1 10024

BME HIT Crysys.hu Bencsáth Boldizsár 2004 8

Alapstruktúrák

Mail filtering logika

KillVir

1 2

3

4

5

BME HIT Crysys.hu Bencsáth Boldizsár 2004 9

Alapstruktúrák

Queue manipuláció

KillVir

1

23

4

6

5

BME HIT Crysys.hu Bencsáth Boldizsár 2004 10

KillVir

daemonizált mag

Víruskereső mag 1

Víruskereső mag 2

ClamAVdaemon

„file” utility

kimtömörítő 1

kimtömörítő 2

unzip

Syslog

spamassassinclient

spamassassindaemon

RBL 1,2,3Razor (daemon)

DCC

Bayes mag

header

checking

Visszajelzés

karantén

archívum(md5)

BME HIT Crysys.hu Bencsáth Boldizsár 2004 11

Főbb kérdések a bevezetésben

•NDR (non-delivery report) sima leveleknél (honnan tudja az MTA ki jó címzett)

•percent hack, open relay védelem átgondolása

•víruskereső kiválasztása

•spam védelem lokális/globális. Bayes DB lokális/globális

•Vírus, spam NDR (vírus visszajelzés)

•karantén vagy eldobás

•tárhely, processzorkapacitás

•milyen middleware? mailscanner, amavis, amavisd-new, qmailscanner, stb.

BME HIT Crysys.hu Bencsáth Boldizsár 2004 12

Denial of service attack (DoS)

“Magic packet” – Protocol stack hiba (ping of death)

“Network bandwidth consumption”

“Overloading protocols” (resource consumption)

-e.g. Slow SQL query on a web page or

-Kulcsgenerálás, kripto függvények

-de pl. vírusellenőrzés

BME HIT Crysys.hu Bencsáth Boldizsár 2004 13

Megoldások

• Protocol reordering• Stateless protocols (memory load-> computation

and network load transformation)• Tracing the source ( Internet anonimity?!)• Ingress filtering, rate control (what, how, which?)• Pricing algorithms, client side puzzle

Gyakori kérdések: Paraméterek, telepítés, analízis, adaptáció

BME HIT Crysys.hu Bencsáth Boldizsár 2004 14

DoS és a levelezés

•Sok fake NDR: kiküldött vírusra a visszajelzések „megölhetik” a hamisított feladó szerverét (és egyébként is zavarják a munkáját)

•Szerver direkt módon is lebénítható sok „sima” levéllel

•hibás levelek, továbbítók okozta hurok

•tárhely elfogyasztása (nagy levéllel)

•vírusvédelem: tárhely elfogyasztása, gép leterhelése speciális tömörített levéllel (egymásba ágyazott tömörítés, „óriási” redundáns fájl tömörítve kicsi stb.)

•hibás fejléccel rendelkező levél, stb.

BME HIT Crysys.hu Bencsáth Boldizsár 2004 15

védekezés

•túlterhelés esetén SMTP nem elérhető (újrapróbálkozik később)

•watchdog

•max. tömörítési arány

•max. beágyazási mélység

•header ellenőrzés, tiltás

•maximális levélméret meghatározás

•sok, kicsi, legális levél?

•false NDR (FNDR)?

BME HIT Crysys.hu Bencsáth Boldizsár 2004 16

Forgalmi okok

•Vírus

•Vírus false NDR (vírusriasztás)

•Spammer körlevele

•DHA (Directory Harvest Attack) – címgyűjtés

•Direkt, célzott DoS támadás

•Levelezési lista, hírlevél, „viral content” (adott esetben legális tartalom)

BME HIT Crysys.hu Bencsáth Boldizsár 2004 17

0100200300400500600700800900

1000

1 2 3 4 5 6

0

4

8

12

16

20

24

1 2 3 4 5 6

Server Model0

4

8

12

16

20

24

1 2 3 4 5 6

0

4

8

12

16

20

24

1 2 3 4 5 6

0

4

8

12

16

20

24

1 2 3 4 5 6

SERVER

Source 1

Source 2

Source 3

Source 4

Aggregate Traffic

BME HIT Crysys.hu Bencsáth Boldizsár 2004 18

0100200300400500600700800900

1000

1 2 3 4 5 6

0

4

8

12

16

20

24

1 2 3 4 5 6

0

4

8

12

16

20

24

1 2 3 4 5 6

0

4

8

12

16

20

24

1 2 3 4 5 6

SERVER

0

4

8

12

16

20

24

1 2 3 4 5 6

forrás 1

forrás 2

forrás 3

forrás 4

össz. forgalom

0100200300400500600700800900

1000

1 2 3 4 5 6

össz. forgalomnincs támadás

0

4

8

12

16

20

24

1 2 3 4 5 6

0

4

8

12

16

20

24

1 2 3 4 5 60

4

8

12

16

20

24

1 2 3 4 5 6

támadó 1

támadó 2 támadó 3

BME HIT Crysys.hu Bencsáth Boldizsár 2004 19

A modell és az SMTP forgalom

•rendszeres levelek

•viszonylag modellezhető forgalom

•valódi kiugrások

•valódi DoS lehetőség

•levelek mérete hasonló, nem ingadozik

•feldolgozási szükséglet hasonló, kevéssé ingadozik

•tartalom is analizálható lehet

•nem „túl gyors”

•offline analízis lehetősége

BME HIT Crysys.hu Bencsáth Boldizsár 2004 20

MTAVirus

scannerMTA-scanner middleware

MDA

senderMTA

BME HIT Crysys.hu Bencsáth Boldizsár 2004 21

MTA

TCP wrapper Virus

scannerMTA-scanner middleware

DoS front-end client

DoS front-end

engine

MDA

senderMTA

Bernstein’sUCSPI-TCP

wrapper package

BME HIT Crysys.hu Bencsáth Boldizsár 2004 22

MTA

TCP wrapper Virus

scannerMTA-scanner middleware

DoS front-end client

DoS front-end

engine

MDA(real traffic)

messaging server (irc)

flooding client (zombie)

flooding client

flooding clientcontrol application

logging

DB for logging(& analysis)

logging

(successful delivery)

Analysis tools

emulation of“real” legal

traffic

BME HIT Crysys.hu Bencsáth Boldizsár 2004 23

komonensek ma:

• (tcpserver)

• adossmtpd (rblsmtpd)

• adosd (perl statisztikai mag, unix domain socketek, statisztika 2 másodpercenként)

• adosstat (állapotválotozó lekérdezés)

• naplózás stb.

BME HIT Crysys.hu Bencsáth Boldizsár 2004 24

…Apr 2 09:14:38 fw ster): 80.98.214.xxx is not filteredApr 2 09:14:43 fw ster): 80.98.214.xxx is not filteredApr 2 09:14:44 fw ster): 213.xxx.9.44 is not filteredApr 2 09:14:45 fw ster): 80.98.214.xxx is not filteredApr 2 09:14:46 fw ster): unfilter statdb13513Apr 2 09:14:46 fw ster): xxx.xxx.242.226 unfilteredApr 2 09:14:47 fw ster): 80.98.214.xxx is not filteredApr 2 09:14:49 fw ster): 80.98.214.xxx is not filteredApr 2 09:14:52 fw ster): xxx.14.130.159 is not filteredApr 2 09:14:56 fw ster): 80.98.214.xxx is not filteredApr 2 09:15:06 fw ster): filtering 0.271714285714286 traffic shorts_no:8Apr 2 09:15:06 fw ster): filtered 80.98.214.xxx, filtered traf: 0.2 (0.2)…Apr 2 09:17:50 fw ster): 212.24.xxx.98 is not filteredApr 2 09:18:03 fw ster): filtered site 80.98.214.xxx FOUNDApr 2 09:18:04 fw ster): 195.xxx.242.xxx is not filtered…Apr 2 09:50:02 fw ster): 80.98.214.xxx unfiltered

Minta naplóbejegyzések

BME HIT Crysys.hu Bencsáth Boldizsár 2004 25

Köszönöm a figyelmet!

Bencsáth Boldizsár

BME HIT Üzleti Adatbiztonság Laboratórium

http://www.crysys.hu

bencsath@crysys.hu