Analýza dat z Wardenu Václav Bartoš
Seminář o bezpečnosti sítí a služeb
9. 2. 2016
Analyzovaná data ●
2× 1 měsíc dat z Wardenu –
Červen:
29 mil. záznamů ze 7 zdrojů
–
Listopad:
43 mil. záznamů z 16 zdrojů
Kategorie
Počet záznamů (událostí)
červen Scanning
listopad
červen
listopad
27 295 094
42 381 822
814 333
2 965 761
1 718 566
422 201
4 125
4 707
7 100
70 582
134
315
--
26 962
--
6 997
176 790
5 341
732
3 032
Botnet drone
9 981
29 438
61 (bot) 32 (CC)
151
Spam
6 943
15 993
3 593
5 526
Ostatní
7 147
5 585
--
--
Login attempt (D)DoS Exploit attempt Copyright
●
Počet unikátních adres
Analýza zaměřena především na počet unikátních adres nahlášených jako zdroj
9. 2. 2016
Analýza dat z Wardenu
Ze kterých zemí přichází nejvíce útoků?
9. 2. 2016
Analýza dat z Wardenu
Zdroje podle země Top 10 podle počtu unikátních adres Skenování (3,7 mil adres) 18,2%
Čína
Login (8 598 adres) 15,1%
Rusko 14,0% 6,5% 6,4% 4,5% 4,5% 4,3% 4,1%
USA Španělsko Indie
13,2%
Thajsko
11,0%
Brazílie
6,7%
Turecko Ukraina 33,9%
14,1%
6,3% 5,4% 2,6%
Itálie
(D)DoS (385 adres)
Čína
Polsko
Indie
Slovensko
Brazílie
38,7%
Česká republika
USA
Thajsko
Rusko
Rakousko
Bahrain
26,3%
Itálie Hong Kong Jižní Korea Pákistán
Rusko Čína
8,6% 5,4% 3,8%
Německo Velká Británie USA
21,2%
Ostatní 9. 2. 2016
Analýza dat z Wardenu
Ostatní
8,6%
Ostatní
Zdroje podle země Top 10 podle počtu unikátních adres Skenování (3,7 mil adres) 18,2%
Čína
Login (8 598 adres) 15,1%
Rusko 14,0% 6,5% 6,4% 4,5% 4,5% 4,3% 4,1%
USA Španělsko Indie
13,2%
Thajsko
11,0%
Brazílie
6,7%
Turecko Ukraina 33,9%
14,1%
6,3% 5,4% 2,6%
Itálie
(D)DoS (385 adres)
Čína
Polsko
Indie
Slovensko
Brazílie
38,7%
Česká republika
USA
Thajsko
Rusko
Rakousko
Bahrain
26,3%
Itálie Hong Kong Jižní Korea Pákistán
Rusko Čína
8,6% 5,4% 3,8%
Německo Velká Británie USA
21,2%
Ostatní 9. 2. 2016
Analýza dat z Wardenu
Ostatní
8,6%
Ostatní
Zdroje podle země Top 10 podle počtu unikátních adres Bahrajn Bahrajn
Indie
1,3 1,3 mil mil obyvatel obyvatel ●● 465,000 IP adres Login (8 598 adres) (D)DoS (385 adres) 465,000 IP adres ●● 335 / 214 adres zlobí (červen/listopad) 335 / 214 adres zlobí (červen/listopad) ●● Pokusy o zalogování na jeden SSH Pokusy o zalogování na jeden SSH Čína Polsko 15,1% honeypot honeypot Indie Slovensko ●● Každá adresa 1-2 hlášení Každá adresa 1-2 hlášení 38,7% 14,1% Whois: Brazílie ●● Whois: Česká republika „Zain „Zain Bahrain Bahrain WiMax“ WiMax“ USA Thajsko „Mena WiMAX core“ „Mena WiMAX core“ 13,2% Vše vv rámci rámci 55 hodin hodin // 22 dnů dnů Rusko ●● Vše Rakousko
Thajsko
11,0%
Brazílie
6,7%
●●
Skenování (3,7 mil adres) 18,2%
Čína Rusko
14,0% 6,5% 6,4% 4,5% 4,5% 4,3% 4,1%
USA Španělsko
Turecko Ukraina 33,9%
6,3% 5,4% 2,6%
Itálie
Bahrain
26,3%
Itálie Hong Kong Jižní Korea Pákistán
Rusko Čína
8,6% 5,4% 3,8%
Německo Velká Británie USA
21,2%
Ostatní 9. 2. 2016
Analýza dat z Wardenu
Ostatní
8,6%
Ostatní
Zdroje podle země Top 10 podle počtu unikátních adres Skenování (3,7 mil adres) 18,2%
Čína
Login (8 598 adres) 15,1%
Rusko 14,0% 6,5% 6,4% 4,5% 4,5% 4,3% 4,1%
USA Španělsko Indie
13,2%
Thajsko
11,0%
Brazílie
6,7%
Turecko Ukraina 33,9%
14,1%
6,3% 5,4% 2,6%
Itálie
(D)DoS (385 adres)
Čína
Polsko
Indie
Slovensko
Brazílie
38,7%
Česká republika
USA
Thajsko
Rusko
Rakousko
Bahrain
26,3%
Itálie Hong Kong Jižní Korea Pákistán
Rusko Čína
8,6% 5,4% 3,8%
Německo Velká Británie USA
21,2%
Ostatní 9. 2. 2016
Analýza dat z Wardenu
Ostatní
8,6%
Ostatní
Zdroje podle země Top 10 podle počtu unikátních adres Skenování (3,7 mil adres) 18,2%
Čína
(D)DoS (D)DoS útoky útoky Rusko
Login (8 598 adres) 15,1%
Čína
Polsko
Indie
Slovensko
Polsko, Polsko, Slovensko, Slovensko, ČR, ČR, Rakousko: Rakousko: 77% 77% 14,1% USA ●● Přímé Brazílie Přímé linky linky ●● Cíle často nejsou v CESNETu Cíle často nejsou v CESNETu Španělsko USA ●● útoky přes13,2% útoky přes nás nás jen jen procházejí procházejí Indie ●● Reflektivní útoky Rusko Reflektivní útoky ● 11,0% server zdroj == zneužitý zneužitý server Bahrain Thajsko● zdroj ●● požadavky i odpovědi → snažší detekce požadavky i odpovědi → snažší detekce ●●
14,0% 6,5% 6,4% 4,5% 4,5% 4,3% 4,1%
Brazílie
Turecko Ukraina 33,9%
6,7% 6,3% 5,4% 2,6%
Itálie
(D)DoS (385 adres)
38,7%
Thajsko Rakousko 26,3%
Itálie
Hong Kong Jižní Korea Pákistán
Česká republika
Rusko Čína
8,6% 5,4% 3,8%
Německo Velká Británie USA
21,2%
Ostatní 9. 2. 2016
Analýza dat z Wardenu
Ostatní
8,6%
Ostatní
Zdroje útoků v ČR
9. 2. 2016
Analýza dat z Wardenu
Počet událostí se zdrojem v ČR ●
●
Počet událostí: 70 861 865 – Z toho z ČR: 647 350 (0,91 %) Počet zdrojových adres: – Z toho z ČR:
9. 2. 2016
3 744 985 10 846 (0,29 %)
Analýza dat z Wardenu
Ze kterých českých AS útoky přicházejí? Top-10 AS podle celkového počtu událostí WEDOS Internet 19%
Liberty Global Operations B.V. (UPC) O2 Czech Republic
9%
FDCservers.net
9%
T-Mobile Czech Republic a.s.
6% 5% 5%
OVH SAS Vodafone Czech Republic a.s. METRONET s.r.o. itself s.r.o.
20%
RIO Media a.s. Ostatní české AS (254)
18%
CESNET z.s.p.o.
9. 2. 2016
Analýza dat z Wardenu
Ze kterých českých AS útoky přicházejí? Top-10 AS podle celkového počtu událostí WEDOS Internet 19%
Téměř Téměř vše vše zz jedné jedné IP IP adresy adresy Liberty Global Operations B.V. (UPC) (scanner (scanner jisté jisté bezpečnostní bezpečnostní firmy) firmy) O2 Czech Republic
9%
FDCservers.net
9%
T-Mobile Czech Republic a.s.
6% 5% 5%
OVH SAS Vodafone Czech Republic a.s. METRONET s.r.o. itself s.r.o.
20%
RIO Media a.s. Ostatní české AS (254)
18%
CESNET z.s.p.o.
9. 2. 2016
Analýza dat z Wardenu
Ze kterých českých AS útoky přicházejí? Top-10 AS podle počtu adres (skenování) O2 Czech Republic 25%
Liberty Global Operations B.V. (UPC) T-Mobile Czech Republic a.s. PODA a.s.
22%
SMART Comp. a.s. RIO Media a.s.
6% 3%
Dial Telecom Vodafone Czech Republic a.s. FreeTel CD-Telematika a.s.
32%
3%
9. 2. 2016
Ostatní české AS (242) CESNET z.s.p.o.
Analýza dat z Wardenu
Ostatní typy útoků: Login:
23 adres z 15 AS
(D)DoS: 36 adres z 10 AS
Jak moc se opakují útoky ze stejných zdrojů?
9. 2. 2016
Analýza dat z Wardenu
Jak moc se opakují útoky ze stejných zdrojů? ●
V kolika dnech v měsíci byla jedna adresa detekována?
9. 2. 2016
Analýza dat z Wardenu
Jak moc se opakují útoky ze stejných zdrojů? ●
V kolika dnech v měsíci byla jedna adresa detekována?
9. 2. 2016
Analýza dat z Wardenu
Jak moc se opakují útoky ze stejných zdrojů? ●
V kolika dnech v měsíci byla jedna adresa detekována?
9. 2. 2016
Analýza dat z Wardenu
Jak moc se opakují útoky ze stejných zdrojů? ●
V kolika dnech v měsíci byla jedna adresa detekována?
9. 2. 2016
Analýza dat z Wardenu
Jak moc se opakují útoky ze stejných zdrojů? ●
V kolika dnech v měsíci byla jedna adresa detekována?
8,5% adres nahlášeno v 5 či více dnech Tyto jsou zodpovědné za 65% všech událostí 3,4% adres nahlášeno v 10 či více dnech Tyto jsou zodpovědné za 49% všech událostí
9. 2. 2016
Analýza dat z Wardenu
Jak moc se opakují útoky ze stejných zdrojů? ●
V kolika dnech v měsíci byla jedna adresa detekována?
15,4% adres nahlášeno v 5 či více dnech Tyto jsou zodpovědné za 51% všech událostí 6,3% adres nahlášeno v 10 či více dnech Tyto jsou zodpovědné za 37% všech událostí
9. 2. 2016
Analýza dat z Wardenu
Jak moc se opakují útoky ze stejných zdrojů? ●
V kolika dnech v měsíci byla jedna adresa detekována?
42,9% adres nahlášeno v 5 či více dnech Tyto jsou zodpovědné za 97% všech událostí 29,8% adres nahlášeno v 10 či více dnech Tyto jsou zodpovědné za 94% všech událostí
9. 2. 2016
Analýza dat z Wardenu
Predikce útoků
9. 2. 2016
Analýza dat z Wardenu
Predikce Pravděpodobnost detekce v následujícím dni
Pravděpodobnost detekce adresy, pokud byla detekována v N předchozích dnech 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0%
1
2
3
4
5
6
7
8
Počet po sobě jdoucích dní, kdy byla adresa detekována (D)DoS
9. 2. 2016
Analýza dat z Wardenu
Login
Skenování
9
10
Predikce Pravděpodobnost detekce v následujícím dni
Pravděpodobnost detekce adresy, pokud byla detekována v N předchozích dnech 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0%
1
2
3
4
5
6
7
8
Počet po sobě jdoucích dní, kdy byla adresa detekována (D)DoS
9. 2. 2016
Analýza dat z Wardenu
Login
Skenování
9
10
Predikce Pravděpodobnost detekce v následujícím dni
Pravděpodobnost detekce adresy, pokud byla detekována v N předchozích dnech 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0%
1
2
3
4
5
6
7
8
Počet po sobě jdoucích dní, kdy byla adresa detekována (D)DoS
9. 2. 2016
Analýza dat z Wardenu
Login
Skenování
9
10
Shrnutí ●
Data jen ze sítě CESNET2 –
●
Jen typ události, čas, IP adresa zdroje
Jen jednoduché statistky → přesto mnoho zajímavých informací
●
Ale také spousta nových otázek
●
Potřeba mnohem podrobnějších analýz –
Víc vstupních dat
–
Zanořit se hlouběji do dat
–
Automatizovaně, on-line
9. 2. 2016
Analýza dat z Wardenu