A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés problémái és kapcsolatai

A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés problémái és kapcsolatai Boldizsár BENCSÁTH BME HIT Laboratory of Cryptography and Systems Security

BME HIT Crysys.hu

Bencsáth Boldizsár 2004

1

Tematika

•E-mail vírusvédelem Linux alapon •DoS problémák a védelem területén •Kísérleti megoldás

BME HIT Crysys.hu

Bencsáth Boldizsár 2004

2

Vírusvédelem fontossága Trend Micro: 2003. 1. negyedév: 35 riasztás 2004. 1. negyedév: 232 riasztás (iTnews)

BME HIT Crysys.hu

WORM_NETSKY.P WORM_NETSKY.D WORM_NETSKY.B WORM_NETSKY.Q WORM_NETSKY.C PE_VALLA.A WORM_MOFEI.B WORM_LOVGATE.G PE_NIMDA.E WORM_BAGLE.GEN-1 Bencsáth Boldizsár 2004

3

Alapstruktúrák

Internet MTA integrált vírusírtással „alig” megkülönböztethető komponensek

BME HIT Crysys.hu

Bencsáth Boldizsár 2004

4

Alapstruktúrák

vírusszűrő

MTA/ MDA

Dual MTA struktúra két önálló kiszolgáló, az egyik a vírusvédelemért felelős, a másik a kézbesítésért BME HIT Crysys.hu

Bencsáth Boldizsár 2004

5

Alapstruktúrák relaying, TLS, Auth, domainek

local MDA, kiküldés, virtual mailbox alieses

KillVir

vírus, spamkeresés

Dual MTA struktúra middleware-rel BME HIT Crysys.hu

Bencsáth Boldizsár 2004

6

Alapstruktúrák

0.0.0.0 25

127.0.0.1 10025

KillVir

127.0.0.1 10024 A 0.0.0.0 25 , 10025 lehet akár azonos processz is, de lehet két teljesen önálló MTA entitás (pl. Qmail), vagy akár két különböző termék is. BME HIT Crysys.hu

Bencsáth Boldizsár 2004

7

Alapstruktúrák 5 2 3

1

KillVir

4

Mail filtering logika BME HIT Crysys.hu

Bencsáth Boldizsár 2004

8

Alapstruktúrák 6 1 5 4

KillVir

2 3

Queue manipuláció BME HIT Crysys.hu

Bencsáth Boldizsár 2004

9

Syslog

header

daemonizált mag

checking KillVir

Visszajelzés

archívum (md5)

karantén kimtömörítő 1 kimtömörítő 2

spamassassin client spamassassin daemon

unzip Víruskereső mag 1 Víruskereső mag 2

Bayes mag Razor (daemon)

„file” utility

ClamAV daemon

RBL 1,2,3 DCC

BME HIT Crysys.hu

Bencsáth Boldizsár 2004

10

Főbb kérdések a bevezetésben •NDR (non-delivery report) sima leveleknél (honnan tudja az MTA ki jó címzett) •percent hack, open relay védelem átgondolása •víruskereső kiválasztása •spam védelem lokális/globális. Bayes DB lokális/globális •Vírus, spam NDR (vírus visszajelzés) •karantén vagy eldobás •tárhely, processzorkapacitás •milyen middleware? mailscanner, amavis, amavisd-new, qmailscanner, stb. BME HIT Crysys.hu

Bencsáth Boldizsár 2004

11

Denial of service attack (DoS) “Magic packet” – Protocol stack hiba (ping of death) “Network bandwidth consumption” “Overloading protocols” (resource consumption) -e.g. Slow SQL query on a web page or -Kulcsgenerálás, kripto függvények -de pl. vírusellenőrzés

BME HIT Crysys.hu

Bencsáth Boldizsár 2004

12

Megoldások • Protocol reordering • Stateless protocols (memory load-> computation and network load transformation) • Tracing the source ( Internet anonimity?!) • Ingress filtering, rate control (what, how, which?) • Pricing algorithms, client side puzzle Gyakori kérdések: Paraméterek, telepítés, analízis, adaptáció BME HIT Crysys.hu

Bencsáth Boldizsár 2004

13

DoS és a levelezés •Sok fake NDR: kiküldött vírusra a visszajelzések „megölhetik” a hamisított feladó szerverét (és egyébként is zavarják a munkáját) •Szerver direkt módon is lebénítható sok „sima” levéllel •hibás levelek, továbbítók okozta hurok •tárhely elfogyasztása (nagy levéllel) •vírusvédelem: tárhely elfogyasztása, gép leterhelése speciális tömörített levéllel (egymásba ágyazott tömörítés, „óriási” redundáns fájl tömörítve kicsi stb.) •hibás fejléccel rendelkező levél, stb.

BME HIT Crysys.hu

Bencsáth Boldizsár 2004

14

védekezés •túlterhelés esetén SMTP nem elérhető (újrapróbálkozik később) •watchdog •max. tömörítési arány •max. beágyazási mélység •header ellenőrzés, tiltás •maximális levélméret meghatározás

•sok, kicsi, legális levél? •false NDR (FNDR)?

BME HIT Crysys.hu

Bencsáth Boldizsár 2004

15

Forgalmi okok

•Vírus •Vírus false NDR (vírusriasztás) •Spammer körlevele •DHA (Directory Harvest Attack) – címgyűjtés •Direkt, célzott DoS támadás •Levelezési lista, hírlevél, „viral content” (adott esetben legális tartalom)

BME HIT Crysys.hu

Bencsáth Boldizsár 2004

16

24 20 16 12 8 4 0

Source 1

1

2

3

4

5

Server Model 6

24

Aggregate Traffic

1

Source 2

20 16 12 8

1000 900 800 700 600 500 400 300 200 100 0

2

3

4

5

6

4 0 1

2

3

4

5

6

SERVER

24 20 16

Source 3

12 8 4 0 1

2

24 20 16

3

4

5

6

Source 4

12 8 4 0 1

2

3

4

BME HIT Crysys.hu

5

6

Bencsáth Boldizsár 2004

17

24 20 16 12 8 4 0

1000 900 800 700 600 500 400 300 200 100 0

forrás 1

1

2

3

4

5

6

24

forrás 2

20 16 12 8

1000 900 800 700 600 500 400 300 200 100 0

össz. forgalom nincs támadás

össz. forgalom

1

1

2

3

4

5

2

3

4

5

6

6

4 0 1

2

3

4

5

6

támadó 1 24 20 16

SERVER

24

forrás 3

20 16 12

12 8 4 0 1

2

24 20 16

3

4

5

6

8 4 0 1

2

forrás 4

12 8 4 0 1

2

3

4

BME HIT Crysys.hu

5

6

Bencsáth Boldizsár 2004

3

4

5

támadó 2

6

támadó 3

24 20 16

24

12 8 4 0

12 8

20 16

4 0

1

2

3

4

5

6

1

2

3

4

5

6

18

A modell és az SMTP forgalom •rendszeres levelek •viszonylag modellezhető forgalom •valódi kiugrások •valódi DoS lehetőség •levelek mérete hasonló, nem ingadozik •feldolgozási szükséglet hasonló, kevéssé ingadozik •tartalom is analizálható lehet •nem „túl gyors” •offline analízis lehetősége

BME HIT Crysys.hu

Bencsáth Boldizsár 2004

19

sender MTA

MTA-scanner middleware

MTA

Virus scanner

MDA

BME HIT Crysys.hu

Bencsáth Boldizsár 2004

20

sender MTA TCP wrapper

Bernstein’s UCSPI-TCP wrapper package

BME HIT Crysys.hu

DoS front-end client

MTA-scanner middleware

MTA

DoS front-end engine

Virus scanner

MDA

Bencsáth Boldizsár 2004

21

Analysis tools emulation of “real” legal traffic

TCP wrapper

DB for logging (& analysis) DoS front-end

DoS front-end client

MTA-scanner middleware

MTA

(real traffic)

engine

MDA

Virus scanner

logging (successful delivery)

logging flooding client (zombie)

messaging server (irc)

flooding client

control application BME HIT Crysys.hu

Bencsáth Boldizsár 2004

flooding client 22

komonensek ma:

•

(tcpserver)

•

adossmtpd (rblsmtpd)

•

adosd (perl statisztikai mag, unix domain socketek, statisztika 2 másodpercenként)

•

adosstat (állapotválotozó lekérdezés)

•

naplózás stb.

BME HIT Crysys.hu

Bencsáth Boldizsár 2004

23

Minta naplóbejegyzések … Apr Apr Apr Apr Apr Apr Apr Apr Apr Apr Apr Apr … Apr Apr Apr … Apr

2 09:14:38 fw ster): 80.98.214.xxx is not filtered 2 09:14:43 fw ster): 80.98.214.xxx is not filtered 2 09:14:44 fw ster): 213.xxx.9.44 is not filtered 2 09:14:45 fw ster): 80.98.214.xxx is not filtered 2 09:14:46 fw ster): unfilter statdb13513 2 09:14:46 fw ster): xxx.xxx.242.226 unfiltered 2 09:14:47 fw ster): 80.98.214.xxx is not filtered 2 09:14:49 fw ster): 80.98.214.xxx is not filtered 2 09:14:52 fw ster): xxx.14.130.159 is not filtered 2 09:14:56 fw ster): 80.98.214.xxx is not filtered 2 09:15:06 fw ster): filtering 0.271714285714286 traffic shorts_no:8 2 09:15:06 fw ster): filtered 80.98.214.xxx, filtered traf: 0.2 (0.2) 2 09:17:50 fw ster): 212.24.xxx.98 is not filtered 2 09:18:03 fw ster): filtered site 80.98.214.xxx FOUND 2 09:18:04 fw ster): 195.xxx.242.xxx is not filtered 2 09:50:02 fw ster): 80.98.214.xxx unfiltered

BME HIT Crysys.hu

Bencsáth Boldizsár 2004

24

Köszönöm a figyelmet!

Bencsáth Boldizsár BME HIT Üzleti Adatbiztonság Laboratórium http://www.crysys.hu [email protected] BME HIT Crysys.hu

Bencsáth Boldizsár 2004

25