Technická analýza kyberútoků z března 2013

Podobné dokumenty
Sledování provozu sítě

Nedávné útoky hackerů a ochrana Internetu v České republice. Andrea Kropáčová / andrea@csirt.cz

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Architektura připojení pro kritické sítě a služby

Sledování sítě pomocí G3

Architektura připojení pro kritické sítě a služby

Sledování IPv6 provozu v e-infrastruktuře CESNET možnosti spolupráce s uživateli

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Benefity a úskalí plošného souvislého sledování IP provozu na bázi toků při řešení bezpečnostních hlášení

Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

Sledování IP provozu sítě

BEZPEČNOSTNĚ PROVOZNÍ KALEIDOSKOP

DoS útoky v síti CESNET2

Identifikátor materiálu: ICT-3-03

Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

Monitoring sítě. CESNET Day Universita Karlova, Tomáš Košňar CESNET z. s. p. o.

Monitoring sítě a síťová obrana

Bezpečná VLAN v NIX.CZ. Ing. Tomáš Hála ACTIVE 24, s.r.o.

SÍŤOVÁ INFRASTRUKTURA MONITORING

BEZPEČNOST. Andrea Kropáčová CESNET Praha

Implementace a monitoring IPv6 v e-infrastruktuře CESNET

Strategie sdružení CESNET v oblasti bezpečnosti

MPLS MPLS. Label. Switching) Michal Petřík -

Bezpečnost sítě CESNET2. Andrea Kropáčová, CESNET, z. s. p. o.

Detektor anomálií DNS provozu

Základní principy obrany sítě II. Michal Kostěnec CESNET, z. s. p. o.

3.17 Využívané síťové protokoly

Řešení jádra sítě ISP na otevřených technologiích

Č.j. MV /VZ-2014 V Praze 22. dubna 2015

Bezpečnost síťové části e-infrastruktury CESNET

Počítačové sítě IP multicasting

Bezpečnostní monitoring sítě

Y36SPS Bezpečnostní architektura PS

Fakulta elektrotechniky a informatiky Vysoká škola báňská - Technická univerzita Ostrava. Cvičení 5 POČÍTAČOVÁ OBRANA A ÚTOK - POU

Budování sítě v datových centrech

Jak se měří síťové toky? A k čemu to je? Martin Žádník

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

IPv6 v CESNETu a v prostředí akademických sítí

Flow Monitoring & NBA. Pavel Minařík

POČÍTAČOVÉ SÍTĚ Metodický list č. 1

Routování směrovač. směrovač

Y36SPS Bezpečnostní architektura PS

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

Access Control Lists (ACL)

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly.

Dodávka nových switchů a jejich integrace do stávající IT infrastruktury inspektorátu SZPI v Praze

Protokoly: IP, ARP, RARP, ICMP, IGMP, OSPF

Počítačové sítě. Lekce 4: Síťová architektura TCP/IP

Bezpečnost sítí útoky

BEZPEČNOSTNÍ MONITORING SÍTĚ

Střední odborná škola a Střední odborné učiliště, Hořovice

Seminář pro správce univerzitních sí4

Služby e-infrastruktury CESNET

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Téma bakalářských a diplomových prací 2014/2015 řešených při

FlowMon Monitoring IP provozu

Firewally a iptables. Přednáška číslo 12

Útoky na DNS. CZ.NIC Labs. Emanuel Petr IT10, Praha

Co znamená IPv6 pro podnikovou informatiku.

1. Směrovače směrového protokolu směrovací tabulku 1.1 TTL

Představení Kerio Control

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Internet a zdroje. (ARP, routing) Mgr. Petr Jakubec. Katedra fyzikální chemie Univerzita Palackého v Olomouci Tř. 17. listopadu

Č.j. MV /VZ-2014 V Praze 24. dubna 2015

Detekce zranitelnosti Heartbleed pomocí rozšířených flow dat

Standardizace Internetu (1)

Detekce volumetrických útoků a jejich mi4gace v ISP

InternetovéTechnologie

4. Síťová vrstva. Síťová vrstva. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme si funkci síťové vrstvy a jednotlivé protokoly.

Jak vybrat správný firewall. Martin Šimek Západočeská univerzita

Projekty a služby sdružení CESNET v oblasti bezpečnosti

ZÁKLADNÍ ANALÝZA SÍTÍ TCP/IP

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz

Počítačové sítě Implementace RM OSI. Počítačové sítě - Vrstva datových spojů 1

Počítačové sítě Transportní vrstva. Transportní vrstva

Počítačové sítě pro V3.x Teoretická průprava II. Ing. František Kovařík

Role forenzní analýzy

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

Principy a použití dohledových systémů

Evoluce RTBH v NIX.CZ. Petr Jiran NIX.CZ IT17 Praha

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Vývoj Internetových Aplikací

Přednáška 3. Opakovače,směrovače, mosty a síťové brány

FlowGuard 2.0. Whitepaper

Koncept. Centrálního monitoringu a IP správy sítě

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Bezpečnost sítí. Bezpečnostní služby v sítích kategorie:

Bezpečnostní monitoring SIEM (logy pod drobnohledem)

Provozně-bezpečnostní monitoring datové infrastruktury

Počítačové sítě II. 15. Internet protokol verze 6 Miroslav Spousta, 2006

6. Transportní vrstva

Technická specifikace zařízení

Vývoj a fungování peeringu v IXP. Petr Jiran - NIX.CZ CTO CSNOG

Jak využít NetFlow pro detekci incidentů?

Vlastnosti podporované transportním protokolem TCP:

IPv6. RNDr. Ing. Vladimir Smotlacha, Ph.D.

PROJEKT FENIX Petr Jiran NIX.CZ. EurOpen.CZ VZ Měřín

Obsah. Úvod 13. Věnování 11 Poděkování 11

Technologie MPLS X36MTI. Michal Petřík

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

Transkript:

Technická analýza kyberútoků z března 2013..útoky na některé zdroje českého Internetu od 4. do 7. března 2013.. Tomáš Košňar CESNET z.s.p.o. kosnar@cesnet.cz

Obsah Cíle časování, schémata, síla, důsledky, dopad zdroje Technický rozbor variant útoků Ukázky provozních záznamů útoků z perspektivy e- infrastruktury CESNET Možnosti eliminace útoků tohoto typu Rámcové shrnutí identifikace a eliminace útoků tohoto typu na úrovni transportu a v koncové síti

Typ a cíle útoků Typ útoku DoS (Denial of Service) Cíle útoků - uživatelsky viditelné, hojně navštěvované zdroje www služby Uživatelsky velmi viditelné mediálně atraktivní Posloupnost nejvýznamnějších cílů Mediální servery Seznam.cz Banky Mobilní operátoři

Schémata a časování útoků Časování útoků Pondělí a úterý TCP SYN FLOOD, podvržené zdrojové IP adresy Středa a čtvrtek BOUNCE TRAFFIC TCP SYN FLOOD, podvržené zdrojové IP adresy Zpravidla dvě vlny v pracovní době ;-) 9-11 14-16

Schémata útoků a) přímý TCP SYN Flood s podvrženými zdrojovými IP adresami ~ velké množství požadavků na otevření spojení

Schémata útoků b) Bounce traffic (technika odražení) s podvrženou zdrojovou IP adresou ( adresa cíle útoku) a odesláním na jiné místo, které odpoví podvržené zdrojové IP adrese, neobvyklé RWIN

Síla a důsledky útoků Z pohledu síťového operátora Objemově TCP handshaking ~ 40Bpp Paketově 1-1.5 Mpps neohrožující, ale detekovatelné Z pohledu poskytovatele obsahu, služby Případ od případu, ale obecně významná koncentrace provozu do jednoho místa zatížení zdrojů o vrstvu výše ~ TCP

Síla a důsledky útoků Nároky na zdoje v kontextu síťového transportu a TCP negociace k zamyšlení (pozn.: TCP/IP model)

Síla a důsledky útoků Z pohledu poskytovatele obsahu, služby V některých případech impakt na předřazená zařízení (FW, balancery) Dává smysl budovat infrastrukturu schopnou odbavit řádově vyšší počet požadavků než je smysluplné vzhledem k účelu aplikace? Splnilo předřadné zařízení svoji úlohu, když nevydrželo nápor a odpojilo cíl? V závislost na architektuře koncové sítě, vedlejší efekty (s cílem útoku nesouvisející, ale postižené služby apod.)

Ukázky provozních záznamů reprezentujících útok s odražením Z pohledu e-infrastruktury CESNET (v roli odrazné sítě) Agregace, příchozího provozu z IP rozsahu cíle útoku; mj. počet disjunktních čísel cílových portů a porovnání s běžným provozem

Ukázky provozních záznamů reprezentujících útok s odražením Z pohledu e-infrastruktury CESNET (v roli odrazné sítě) Neagregovaný příchozí provoz, podle cílové IP adresy

Ukázky provozních záznamů reprezentujících útok s odražením Z pohledu e-infrastruktury CESNET (v roli odrazné sítě) Agregovaný příchozí provoz, počet pokusů vůči jednomu místu potenciálního odrazu

Ukázky provozních záznamů reprezentujících útok s odražením Z pohledu e-infrastruktury CESNET (v roli odrazné sítě) Odraz, akceptace požadavků na spojení

Ukázky provozních záznamů reprezentujících útok s odražením Z pohledu e-infrastruktury CESNET (v roli odrazné sítě) Odraz, odmítnutí požadavků na spojení

Ukázky provozních záznamů reprezentujících útok s odražením Efektivita odrazu přes e-infrastrukturu CESNET??? Příklad náhodně vybraného útoku - vzorek provozních dat z hraničního směrovače e-infrastruktury CESNET, provoz do/z NIX Počet SYN: 61.444 Mpkt Počet odrazů jako SYN+ACK: 4.190 Mpkt ~ 6.81% Počet odrazů jako RST/RST+ACK: 2.070 Mpkt ~ 3.37% efektivita odrazu ~ 10% ICMP side efekty < 1Mpkt (oba směry)

Ukázky provozních záznamů reprezentujících útok s odražením Rozložení v čase??? Vzorek provozu z některých regionálních směrováčů e- infrastruktury CESNET prakticky rovnoměrné rozložení vzhledem k vzorkování vstupních dat

Rámcové možnosti eliminace útoků s podvrženou IP na úrovni transportu Možnosti efektivní eliminace útoku tohoto typu na úrovni transportu souvisí se schopností identifikovat příslušný provoz Pravděpodobnost přesného určení provozu s podvrženými zdrojovými adresami zpravidla klesá se vzdáleností (topologoickou ~ hop count) od zdroje dat...

Rámcové možnosti identifikace útoků s podvrženou IP na úrovni transportu Příklad ad-hoc identifikace podvržené zdrojové IP adresy na základě znalosti zařízení, které datagram odeslalo v rámci L2 infrastruktury (IX) Podmínka - operátor 1 musí vědět, kdo (MAC adresa) je operátorem a.b.c.d (cíl útoku) podvrh lze určit na základě kombinace zdrojové MAC adresy a zdrojové IP adresy

Rámcové možnosti identifikace útoků s podvrženou IP na úrovni transportu Příklad ad-hoc identifikace podvržené zdrojové IP adresy na základě znalosti směru, ze kterého datagram do infrastruktury vstoupil pomocí provozních informací typu NetFlow Daným rozhraním nemůže být příslušná IP síť dostupná V rámci aktuálního provozního stavu je velmi nízká pravděpodobnost, že by daným rozhraním měla z dané IP sítě přicházet data SrcIP = a.b.c.d DstIP = m.n.o.p Proto = tcp SrcPort = 45371 DstPort = 80 SrcIf = 1 DstIf = 5 Octets = 12252 Pkts = 12

Rámcové možnosti eliminace útoků s podvrženou IP na úrovni transportu Systematická provozní eliminace příchozích datagramů s podvrženou zdrojovou IP adresou Standardní mechanismy založené na kontrole zdrojové IP adresy (BCP 38, revese path check) V závislosti na tom, co je oznamováno/přiděleno v příslušném směru Obecně žádoucí net-etický standard ;-) Ad-hoc filtrace Možnosti zařízení, která jsou k dispozici v daném místě Principiální mantinely policy - neutralita, zásah do provozu třetích stran!!! Rozumná zásada - nevytlačit takový provoz změnou směrování tam, kde už je naprosto neidentifikovatelný; řešit mechanismy black hole, silent drop,...

Rámcové možnosti eliminace útoků s podvrženou IP v koncové síti Přímý SYN flood s podvrženými zdrojovými adresami Spolupráce se síťovým operátorem Selektivní metody filtrace (technologické ~ adresace, významové ~ tuzemská služba), statistické metody filtrace ~ QoS, posouvání cíle útoku po adresovém prostoru (preventivně nízké ttl na DNS záznam), IPS, pračky provozu, předřadná zařízení s TCP synchronizací (bez okamžitých alokací v TCP stacku ;-) ), SYN cookies,...

Rámcové možnosti eliminace útokůs podvrženou IP v koncové síti Bounce traffic primárně s podvrženými zdrojovými adresami Spolupráce s operátorem sítě a s operátory odrážejících sítí - odraz TCP SYN požadavku je málo efektivní, ale po odrazu se obecně jedná z hlediska transportu o naprosto legitimní provoz (validní identifikátory, autentické ttl) Účinná obrana v odrážejících sítích, pouze některé metody efektivně použitelné v síti cíle útoku

???

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář