Analýza dat z Wardenu

Václav Bartoš Seminář o bezpečnosti sítí a služeb

Analyzovaná data 2 1 měsíc dat z Wardenu Červen: 29 mil. záznamů ze 7 zdrojů Listopad: 43 mil. záznamů z 16 zdrojů Kategorie Počet záznamů (událostí) červen Scanning listopad červen listopad 27 295 094 42 381 822 814 333 2 965 761 1 718 566 422 201 4 125 4 707 7 100 70 582 134 315 -- 26 962 -- 6 997 176 790 5 341 732 3 032 Botnet drone 9 981 29 438 61 (bot) 32 (CC) 151 Spam 6 943 15 993 3 593 5 526 7 147 5 585 -- -- Login attempt (D)DoS Exploit attempt Copyright Počet unikátních adres Analýza zaměřena především na počet unikátních adres nahlášených jako zdroj

Ze kterých zemí přichází nejvíce útoků?

Zdroje podle země Top 10 podle počtu unikátních adres Skenování (3,7 mil adres) 18,2% Login (8 598 adres) 15,1% 14,0% 6,5% 6,4% 4,5% 4,5% 4,3% 4,1% Španělsko Indie 13,2% Thajsko 11,0% Brazílie 6,7% Turecko Ukraina 33,9% 14,1% 6,3% 5,4% 2,6% Itálie (D)DoS (385 adres) Polsko Indie Slovensko Brazílie 38,7% Česká republika Thajsko Rakousko Bahrain 26,3% Itálie Hong Kong Jižní Korea Pákistán 8,6% 5,4% 3,8% Německo Velká Británie 21,2% 8,6%

Zdroje podle země Top 10 podle počtu unikátních adres Bahrajn Bahrajn Indie 1,3 1,3 mil mil obyvatel obyvatel 465,000 IP adres Login (8 598 adres) (D)DoS (385 adres) 465,000 IP adres 335 / 214 adres zlobí (červen/listopad) 335 / 214 adres zlobí (červen/listopad) Pokusy o zalogování na jeden SSH Pokusy o zalogování na jeden SSH Polsko 15,1% honeypot honeypot Indie Slovensko Každá adresa 1-2 hlášení Každá adresa 1-2 hlášení 38,7% 14,1% Whois: Brazílie Whois: Česká republika Zain Zain Bahrain Bahrain WiMax WiMax Thajsko Mena WiMAX core Mena WiMAX core 13,2% Vše vv rámci rámci 55 hodin hodin // 22 dnů dnů Vše Rakousko Thajsko 11,0% Brazílie 6,7% Skenování (3,7 mil adres) 18,2% 14,0% 6,5% 6,4% 4,5% 4,5% 4,3% 4,1% Španělsko Turecko Ukraina 33,9% 6,3% 5,4% 2,6% Itálie Bahrain 26,3% Itálie Hong Kong Jižní Korea Pákistán 8,6% 5,4% 3,8% Německo Velká Británie 21,2% 8,6%

Zdroje podle země Top 10 podle počtu unikátních adres Skenování (3,7 mil adres) 18,2% Login (8 598 adres) 15,1% 14,0% 6,5% 6,4% 4,5% 4,5% 4,3% 4,1% Španělsko Indie 13,2% Thajsko 11,0% Brazílie 6,7% Turecko Ukraina 33,9% 14,1% 6,3% 5,4% 2,6% Itálie (D)DoS (385 adres) Polsko Indie Slovensko Brazílie 38,7% Česká republika Thajsko Rakousko Bahrain 26,3% Itálie Hong Kong Jižní Korea Pákistán 8,6% 5,4% 3,8% Německo Velká Británie 21,2% 8,6%

Zdroje podle země Top 10 podle počtu unikátních adres Skenování (3,7 mil adres) 18,2% (D)DoS (D)DoS útoky útoky Login (8 598 adres) 15,1% Polsko Indie Slovensko Polsko, Polsko, Slovensko, Slovensko, ČR, ČR, Rakousko: Rakousko: 77% 77% 14,1% Přímé Brazílie Přímé linky linky Cíle často nejsou v CESNETu Cíle často nejsou v CESNETu Španělsko útoky přes13,2% útoky přes nás nás jen jen procházejí procházejí Indie Reflektivní útoky Reflektivní útoky 11,0% server zdroj == zneužitý zneužitý server Bahrain Thajsko zdroj požadavky i odpovědi snažší detekce požadavky i odpovědi snažší detekce 14,0% 6,5% 6,4% 4,5% 4,5% 4,3% 4,1% Brazílie Turecko Ukraina 33,9% 6,7% 6,3% 5,4% 2,6% Itálie (D)DoS (385 adres) 38,7% Thajsko Rakousko 26,3% Itálie Hong Kong Jižní Korea Pákistán Česká republika 8,6% 5,4% 3,8% Německo Velká Británie 21,2% 8,6%

Zdroje útoků v ČR

Počet událostí se zdrojem v ČR Počet událostí: 70 861 865 Z toho z ČR: 647 350 (0,91 %) Počet zdrojových adres: Z toho z ČR: 3 744 985 10 846 (0,29 %)

Ze kterých českých AS útoky přicházejí? Top-10 AS podle celkového počtu událostí WEDOS Internet 19% Liberty Global Operations B.V. (UPC) O2 Czech Republic 9% FDCservers.net 9% T-Mobile Czech Republic a.s. 6% 5% 5% OVH SAS Vodafone Czech Republic a.s. METRONET s.r.o. itself s.r.o. 20% RIO Media a.s. české AS (254) 18% CESNET z.s.p.o.

Ze kterých českých AS útoky přicházejí? Top-10 AS podle celkového počtu událostí WEDOS Internet 19% Téměř Téměř vše vše zz jedné jedné IP IP adresy adresy Liberty Global Operations B.V. (UPC) (scanner (scanner jisté jisté bezpečnostní bezpečnostní firmy) firmy) O2 Czech Republic 9% FDCservers.net 9% T-Mobile Czech Republic a.s. 6% 5% 5% OVH SAS Vodafone Czech Republic a.s. METRONET s.r.o. itself s.r.o. 20% RIO Media a.s. české AS (254) 18% CESNET z.s.p.o.

Ze kterých českých AS útoky přicházejí? Top-10 AS podle počtu adres (skenování) O2 Czech Republic 25% Liberty Global Operations B.V. (UPC) T-Mobile Czech Republic a.s. PODA a.s. 22% SMART Comp. a.s. RIO Media a.s. 6% 3% Dial Telecom Vodafone Czech Republic a.s. FreeTel CD-Telematika a.s. 32% 3% české AS (242) CESNET z.s.p.o. typy útoků: Login: 23 adres z 15 AS (D)DoS: 36 adres z 10 AS

Jak moc se opakují útoky ze stejných zdrojů?

Jak moc se opakují útoky ze stejných zdrojů? V kolika dnech v měsíci byla jedna adresa detekována?

Jak moc se opakují útoky ze stejných zdrojů? V kolika dnech v měsíci byla jedna adresa detekována? 8,5% adres nahlášeno v 5 či více dnech Tyto jsou zodpovědné za 65% všech událostí 3,4% adres nahlášeno v 10 či více dnech Tyto jsou zodpovědné za 49% všech událostí

Predikce útoků

Predikce Pravděpodobnost detekce v následujícím dni Pravděpodobnost detekce adresy, pokud byla detekována v N předchozích dnech 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 1 2 3 4 5 6 7 8 Počet po sobě jdoucích dní, kdy byla adresa detekována (D)DoS Login Skenování 9 10

Shrnutí Data jen ze sítě CESNET2 Jen typ události, čas, IP adresa zdroje Jen jednoduché statistky přesto mnoho zajímavých informací Ale také spousta nových otázek Potřeba mnohem podrobnějších analýz Víc vstupních dat Zanořit se hlouběji do dat Automatizovaně, on-line