DHA VÉDELMI RENDSZER EREDMÉNYEINEK STATISZTIKAI VIZSGÁLATA Laboratory of Cryptography and System Security (CrySyS) Híradástechnika Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
Szabó Géza (
[email protected]) Bencsáth Boldizsár (
[email protected])
Bevezető E-mail cím veszélyben Mindennapi problémák: § Állandóan növekvő számú kéretlen levél – SPAM § E-mailben terjedő vírusok § Más kártevők (pl. trójaiak, kémprogramok) Mit tehetünk ez ellen? § E-mail címhez való hozzáférés korlátozása – Honlapokon mailto:
[email protected] helyett: <szabog at crysys dot hu> vagy képként – Fórumokon megfelelő beállítások
§ Még akad megoldatlan probléma: Directory Harvest Attack (DHA) Szabó Géza
2
Directory Harvest Attack Támadás leírása SMTP protokoll röviden: § Rendes levél érkezik: a levelező szervertől nincs jelzés § Nem létező címzettnek küldött levél: azonnali vagy késleltetett visszajelzés a szerver felől A támadás alapgondolata: § A támadott levelező szervernek sok levelet küldeni § Azokat a címeket megjegyezni amikről nem jött visszajelzés § Létező címek Þ cím-lista Szabó Géza
3
Rendszer működése Helyesen címzett levél DHA-szerver
DNS-szerver
ü
RBL-adatbázis
INTERNETTCP kapcsolat
Adminisztrációs felület
E-mail server ... port 25: exim Levél sor ...
inetd
ADoS Statitisztikai modul
Döntéshozó modul DHA lekérdező modul
Szabó Géza
Felhasználói postafiókok
Valós-idejű rendszernapló elemző
4
Rendszer működése DHA támadás első alkalommal DHA-szerver
DNS-szerver
ü
RBL-adatbázis
INTERNETTCP kapcsolat
Adminisztrációs felület
E-mail server
inetd
Támadó... ports25: e bejelenté exim Levél sor ... ADoS Statitisztikai modul
Döntéshozó modul DHA lekérdező modul
Szabó Géza
Felhasználói postafiókok
Valós-idejű rendszernapló elemző
5
Rendszer működése DHA támadás következő alkalommal DHA-szerver
û
DNS-szerver RBL-adatbázis
INTERNETTCP kapcsolat
E-mail server
inetd
Feke leké telista rdez ése
... port 25: exim Levél sor ...
ADoS Statitisztikai modul
Döntéshozó modul DHA lekérdező modul
Szabó Géza
Adminisztrációs felület
Felhasználói postafiókok
Valós-idejű rendszernapló elemző
6
Védelem a DHA ellen Rendszernapló elemző DHA-szerver
DNS-szerver RBL-adatbázis
INTERNET
Adminisztrációs felület
E-mail server ... port 25: exim Levél sor ...
inetd
ADoS Statitisztikai modul
Döntéshozó modul DHA lekérdező modul
Szabó Géza
Felhasználói postafiókok
Valós-idejű rendszernapló elemző
7
Védelem a DHA ellen Anti-DoS front-end DHA-szerver
DNS-szerver
INTERNET ‘Se rve rT em po r ar y
RBL-adatbázis
E-mail server Un
inetd
av
a il ab le ’
... port 25: exim Levél sor ...
ADoS Statitisztikai modul
Döntéshozó modul DHA lekérdező modul
Szabó Géza
Adminisztrációs felület
Felhasználói postafiókok
Valós-idejű rendszernapló elemző
8
Védelem a DHA ellen Feketelista szerver DHA-szerver
DNS-szerver RBL-adatbázis
INTERNET
Adminisztrációs felület
E-mail server ... port 25: exim Levél sor ...
inetd
ADoS Statitisztikai modul
Döntéshozó modul DHA lekérdező modul
Szabó Géza
Felhasználói postafiókok
Valós-idejű rendszernapló elemző
9
Védelem a DHA ellen A védelem eredményessége § A rendszer védelmet nyújt a DHA ellen § Nem a meglévő protokollokat vagy rendszereket módosítottunk: beépülő komponensek meglévő rendszerek mellé § Támadó levélből a megengedett félrecímzett levél érkezési intenzitás értékétől függően is csak 1-1 csúszhat át a védelmen § A komponensek transzparensek kívülről: meghibásodásuk esetén a teljes rendszer viselkedése nem lesz rosszabb, mint nélkülük
Szabó Géza
10
Támadók típusai
…a rendszerünkből származó adatok analízise alapján
Tudatos támadó § Nappal aktív, éjszaka nem § Hétvégén nincs támadás § Egyenletes sebességgel támad: ~500 e-mail/óra § Könnyen követhető volt: kábelnetes előfizetés, fix IP-cím
Szabó Géza
11
Támadók típusai
…a rendszerünkből származó adatok analízise alapján
Vírussal fertőzött gépek § A nap bármely időszakában aktív, minden nap § A támadási sebesség változó Þ a céluk, hogy észrevétlenek maradjanak Þ nagyon alacsony erőforrás használat: ~1-2 e-mail/óra
Szabó Géza
12
Támadók típusai
…a rendszerünkből származó adatok analízise alapján
Távirányított zombiek § Gyanúsan egybeeső támadási időszak § Előtte és utána nincs támadás: támadó belép a zombiehoz, DHA támadási parancs, kijelentkezik § Trójaiak párhuzamos irányítása: botnetek § Hatalmas erőforrások állnak a botnetes támadók rendelkezésére Szabó Géza
13
Támadási adatok Statisztikai vizsgálata
5. ábra A támadók adatsorainak variancia-idő diagramjai 4. ábra A támadók adatsorainak kumulatív eloszlás függvényei (cdf)
Szabó Géza
14
Összefoglaló § Hálózaton alapuló védelem Egy hálózaton alapuló védelmi rendszert alakítottam ki ami védelmet jelent a DHA támadások ellen.
§ A rendszert akkor is meg lehet védeni, ha még meg sem támadták A központi feketelista segítségével a rendszert használó összes kliens információt szolgáltat egymásnak, így egy támadó nem csak egy védett rendszert nem tud megtámadni, hanem a többieknek sem okozhat kárt.
§ Erőforrás megtakarítás A rendszer használatával az e-mail szerver terhelése csökkenthető, a DHA megállítható, és elkerülhető, hogy az e-mail címek spam küldők listájára kerüljön.
Szabó Géza
15
A rendszer elérhető Az adminisztrációs felület címe
www.virusflags.org
Szabó Géza
16
Különleges DHA támadó aki egyáltalán nem terheli a levelező szervert
Szabó Géza
17
