25
BME HIT Crysys.hu Bencsáth Boldizsár 2004 1 A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés problémái és kapcsolatai Boldizsár BENCSÁTH BME HIT Laboratory of Cryptography and Systems Security

A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés

Embed Size (px)

DESCRIPTION

A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés problémái és kapcsolatai Boldizsár BENCSÁTH BME HIT Laboratory of Cryptography and Systems Security. Tematika. E-mail vírusvédelem Linux alapon DoS problémák a védelem területén Kísérleti megoldás. - PowerPoint PPT Presentation

Citation preview

Page 1: A hálózati vírusvédelem és a  szolgáltatásmegtagadásos  támadások elleni védekezés

BME HIT Crysys.hu Bencsáth Boldizsár 2004 1

A hálózati vírusvédelem és a szolgáltatásmegtagadásos

támadások elleni védekezés problémái és kapcsolatai

Boldizsár BENCSÁTHBME HIT

Laboratory of Cryptography and Systems Security

Page 2: A hálózati vírusvédelem és a  szolgáltatásmegtagadásos  támadások elleni védekezés

BME HIT Crysys.hu Bencsáth Boldizsár 2004 2

•E-mail vírusvédelem Linux alapon

•DoS problémák a védelem területén

•Kísérleti megoldás

Tematika

Page 3: A hálózati vírusvédelem és a  szolgáltatásmegtagadásos  támadások elleni védekezés

BME HIT Crysys.hu Bencsáth Boldizsár 2004 3

Vírusvédelem fontossága

Trend Micro:

2003. 1. negyedév: 35 riasztás

2004. 1. negyedév: 232 riasztás

(iTnews) WORM_NETSKY.P WORM_NETSKY.D WORM_NETSKY.B WORM_NETSKY.Q WORM_NETSKY.C PE_VALLA.A WORM_MOFEI.B WORM_LOVGATE.G PE_NIMDA.E WORM_BAGLE.GEN-1

Page 4: A hálózati vírusvédelem és a  szolgáltatásmegtagadásos  támadások elleni védekezés

BME HIT Crysys.hu Bencsáth Boldizsár 2004 4

Alapstruktúrák

MTA integrált vírusírtással

„alig” megkülönböztethető komponensek

Internet

Page 5: A hálózati vírusvédelem és a  szolgáltatásmegtagadásos  támadások elleni védekezés

BME HIT Crysys.hu Bencsáth Boldizsár 2004 5

Alapstruktúrák

Dual MTA struktúra

két önálló kiszolgáló, az egyik a vírusvédelemért felelős, a másik a kézbesítésért

vírusszűrő MTA/MDA

Page 6: A hálózati vírusvédelem és a  szolgáltatásmegtagadásos  támadások elleni védekezés

BME HIT Crysys.hu Bencsáth Boldizsár 2004 6

Alapstruktúrák

Dual MTA struktúra middleware-rel

KillVir

relaying,TLS, Auth, domainek

local MDA,kiküldés,virtual mailboxalieses

vírus, spamkeresés

Page 7: A hálózati vírusvédelem és a  szolgáltatásmegtagadásos  támadások elleni védekezés

BME HIT Crysys.hu Bencsáth Boldizsár 2004 7

Alapstruktúrák

A 0.0.0.0 25 , 10025 lehet akár azonos processz is,

de lehet két teljesen önálló MTA entitás (pl. Qmail), vagy akár két különböző termék is.

KillVir

0.0.0.0 25 127.0.0.1 10025

127.0.0.1 10024

Page 8: A hálózati vírusvédelem és a  szolgáltatásmegtagadásos  támadások elleni védekezés

BME HIT Crysys.hu Bencsáth Boldizsár 2004 8

Alapstruktúrák

Mail filtering logika

KillVir

1 2

3

4

5

Page 9: A hálózati vírusvédelem és a  szolgáltatásmegtagadásos  támadások elleni védekezés

BME HIT Crysys.hu Bencsáth Boldizsár 2004 9

Alapstruktúrák

Queue manipuláció

KillVir

1

23

4

6

5

Page 10: A hálózati vírusvédelem és a  szolgáltatásmegtagadásos  támadások elleni védekezés

BME HIT Crysys.hu Bencsáth Boldizsár 2004 10

KillVir

daemonizált mag

Víruskereső mag 1

Víruskereső mag 2

ClamAVdaemon

„file” utility

kimtömörítő 1

kimtömörítő 2

unzip

Syslog

spamassassinclient

spamassassindaemon

RBL 1,2,3Razor (daemon)

DCC

Bayes mag

header

checking

Visszajelzés

karantén

archívum(md5)

Page 11: A hálózati vírusvédelem és a  szolgáltatásmegtagadásos  támadások elleni védekezés

BME HIT Crysys.hu Bencsáth Boldizsár 2004 11

Főbb kérdések a bevezetésben

•NDR (non-delivery report) sima leveleknél (honnan tudja az MTA ki jó címzett)

•percent hack, open relay védelem átgondolása

•víruskereső kiválasztása

•spam védelem lokális/globális. Bayes DB lokális/globális

•Vírus, spam NDR (vírus visszajelzés)

•karantén vagy eldobás

•tárhely, processzorkapacitás

•milyen middleware? mailscanner, amavis, amavisd-new, qmailscanner, stb.

Page 12: A hálózati vírusvédelem és a  szolgáltatásmegtagadásos  támadások elleni védekezés

BME HIT Crysys.hu Bencsáth Boldizsár 2004 12

Denial of service attack (DoS)

“Magic packet” – Protocol stack hiba (ping of death)

“Network bandwidth consumption”

“Overloading protocols” (resource consumption)

-e.g. Slow SQL query on a web page or

-Kulcsgenerálás, kripto függvények

-de pl. vírusellenőrzés

Page 13: A hálózati vírusvédelem és a  szolgáltatásmegtagadásos  támadások elleni védekezés

BME HIT Crysys.hu Bencsáth Boldizsár 2004 13

Megoldások

• Protocol reordering• Stateless protocols (memory load-> computation

and network load transformation)• Tracing the source ( Internet anonimity?!)• Ingress filtering, rate control (what, how, which?)• Pricing algorithms, client side puzzle

Gyakori kérdések: Paraméterek, telepítés, analízis, adaptáció

Page 14: A hálózati vírusvédelem és a  szolgáltatásmegtagadásos  támadások elleni védekezés

BME HIT Crysys.hu Bencsáth Boldizsár 2004 14

DoS és a levelezés

•Sok fake NDR: kiküldött vírusra a visszajelzések „megölhetik” a hamisított feladó szerverét (és egyébként is zavarják a munkáját)

•Szerver direkt módon is lebénítható sok „sima” levéllel

•hibás levelek, továbbítók okozta hurok

•tárhely elfogyasztása (nagy levéllel)

•vírusvédelem: tárhely elfogyasztása, gép leterhelése speciális tömörített levéllel (egymásba ágyazott tömörítés, „óriási” redundáns fájl tömörítve kicsi stb.)

•hibás fejléccel rendelkező levél, stb.

Page 15: A hálózati vírusvédelem és a  szolgáltatásmegtagadásos  támadások elleni védekezés

BME HIT Crysys.hu Bencsáth Boldizsár 2004 15

védekezés

•túlterhelés esetén SMTP nem elérhető (újrapróbálkozik később)

•watchdog

•max. tömörítési arány

•max. beágyazási mélység

•header ellenőrzés, tiltás

•maximális levélméret meghatározás

•sok, kicsi, legális levél?

•false NDR (FNDR)?

Page 16: A hálózati vírusvédelem és a  szolgáltatásmegtagadásos  támadások elleni védekezés

BME HIT Crysys.hu Bencsáth Boldizsár 2004 16

Forgalmi okok

•Vírus

•Vírus false NDR (vírusriasztás)

•Spammer körlevele

•DHA (Directory Harvest Attack) – címgyűjtés

•Direkt, célzott DoS támadás

•Levelezési lista, hírlevél, „viral content” (adott esetben legális tartalom)

Page 17: A hálózati vírusvédelem és a  szolgáltatásmegtagadásos  támadások elleni védekezés

BME HIT Crysys.hu Bencsáth Boldizsár 2004 17

0100200300400500600700800900

1000

1 2 3 4 5 6

0

4

8

12

16

20

24

1 2 3 4 5 6

Server Model0

4

8

12

16

20

24

1 2 3 4 5 6

0

4

8

12

16

20

24

1 2 3 4 5 6

0

4

8

12

16

20

24

1 2 3 4 5 6

SERVER

Source 1

Source 2

Source 3

Source 4

Aggregate Traffic

Page 18: A hálózati vírusvédelem és a  szolgáltatásmegtagadásos  támadások elleni védekezés

BME HIT Crysys.hu Bencsáth Boldizsár 2004 18

0100200300400500600700800900

1000

1 2 3 4 5 6

0

4

8

12

16

20

24

1 2 3 4 5 6

0

4

8

12

16

20

24

1 2 3 4 5 6

0

4

8

12

16

20

24

1 2 3 4 5 6

SERVER

0

4

8

12

16

20

24

1 2 3 4 5 6

forrás 1

forrás 2

forrás 3

forrás 4

össz. forgalom

0100200300400500600700800900

1000

1 2 3 4 5 6

össz. forgalomnincs támadás

0

4

8

12

16

20

24

1 2 3 4 5 6

0

4

8

12

16

20

24

1 2 3 4 5 60

4

8

12

16

20

24

1 2 3 4 5 6

támadó 1

támadó 2 támadó 3

Page 19: A hálózati vírusvédelem és a  szolgáltatásmegtagadásos  támadások elleni védekezés

BME HIT Crysys.hu Bencsáth Boldizsár 2004 19

A modell és az SMTP forgalom

•rendszeres levelek

•viszonylag modellezhető forgalom

•valódi kiugrások

•valódi DoS lehetőség

•levelek mérete hasonló, nem ingadozik

•feldolgozási szükséglet hasonló, kevéssé ingadozik

•tartalom is analizálható lehet

•nem „túl gyors”

•offline analízis lehetősége

Page 20: A hálózati vírusvédelem és a  szolgáltatásmegtagadásos  támadások elleni védekezés

BME HIT Crysys.hu Bencsáth Boldizsár 2004 20

MTAVirus

scannerMTA-scanner middleware

MDA

senderMTA

Page 21: A hálózati vírusvédelem és a  szolgáltatásmegtagadásos  támadások elleni védekezés

BME HIT Crysys.hu Bencsáth Boldizsár 2004 21

MTA

TCP wrapper Virus

scannerMTA-scanner middleware

DoS front-end client

DoS front-end

engine

MDA

senderMTA

Bernstein’sUCSPI-TCP

wrapper package

Page 22: A hálózati vírusvédelem és a  szolgáltatásmegtagadásos  támadások elleni védekezés

BME HIT Crysys.hu Bencsáth Boldizsár 2004 22

MTA

TCP wrapper Virus

scannerMTA-scanner middleware

DoS front-end client

DoS front-end

engine

MDA(real traffic)

messaging server (irc)

flooding client (zombie)

flooding client

flooding clientcontrol application

logging

DB for logging(& analysis)

logging

(successful delivery)

Analysis tools

emulation of“real” legal

traffic

Page 23: A hálózati vírusvédelem és a  szolgáltatásmegtagadásos  támadások elleni védekezés

BME HIT Crysys.hu Bencsáth Boldizsár 2004 23

komonensek ma:

• (tcpserver)

• adossmtpd (rblsmtpd)

• adosd (perl statisztikai mag, unix domain socketek, statisztika 2 másodpercenként)

• adosstat (állapotválotozó lekérdezés)

• naplózás stb.

Page 24: A hálózati vírusvédelem és a  szolgáltatásmegtagadásos  támadások elleni védekezés

BME HIT Crysys.hu Bencsáth Boldizsár 2004 24

…Apr 2 09:14:38 fw ster): 80.98.214.xxx is not filteredApr 2 09:14:43 fw ster): 80.98.214.xxx is not filteredApr 2 09:14:44 fw ster): 213.xxx.9.44 is not filteredApr 2 09:14:45 fw ster): 80.98.214.xxx is not filteredApr 2 09:14:46 fw ster): unfilter statdb13513Apr 2 09:14:46 fw ster): xxx.xxx.242.226 unfilteredApr 2 09:14:47 fw ster): 80.98.214.xxx is not filteredApr 2 09:14:49 fw ster): 80.98.214.xxx is not filteredApr 2 09:14:52 fw ster): xxx.14.130.159 is not filteredApr 2 09:14:56 fw ster): 80.98.214.xxx is not filteredApr 2 09:15:06 fw ster): filtering 0.271714285714286 traffic shorts_no:8Apr 2 09:15:06 fw ster): filtered 80.98.214.xxx, filtered traf: 0.2 (0.2)…Apr 2 09:17:50 fw ster): 212.24.xxx.98 is not filteredApr 2 09:18:03 fw ster): filtered site 80.98.214.xxx FOUNDApr 2 09:18:04 fw ster): 195.xxx.242.xxx is not filtered…Apr 2 09:50:02 fw ster): 80.98.214.xxx unfiltered

Minta naplóbejegyzések

Page 25: A hálózati vírusvédelem és a  szolgáltatásmegtagadásos  támadások elleni védekezés

BME HIT Crysys.hu Bencsáth Boldizsár 2004 25

Köszönöm a figyelmet!

Bencsáth Boldizsár

BME HIT Üzleti Adatbiztonság Laboratórium

http://www.crysys.hu

[email protected]