Techniken zur Identifizierung von Netzwerk-Protokollen

Transkript

1 Techniken zur Identifizierung von Netzwerk-Protokollen Florian Adamsky 27C3: We come in Peace 28. Dezember 2010 Florian Adamsky 1 / 48

2 Einleitung Inhaltsverzeichnis 1 Einleitung 2 Netzwerkprotokoll Identifizierung Definition Techniken 3 Statistical Protocol IDentification Algorithmus Details Gruppierung in Flows Operation Implementierung Messverfahren 4 Evaluierung Ergebnisse 5 Ausblick: Protokoll-Obfuskation Florian Adamsky 2 / 48

3 Einleitung Einleitung suchte spannendes Thema für meine Bachelorthesis Zugangserschwerungsgesetz intelligente Dienstgüte (QoS) für Heimnetzwerke Florian Adamsky 3 / 48

4 Einleitung Einleitung suchte spannendes Thema für meine Bachelorthesis Zugangserschwerungsgesetz intelligente Dienstgüte (QoS) für Heimnetzwerke Florian Adamsky 3 / 48

5 Einleitung Einleitung suchte spannendes Thema für meine Bachelorthesis Zugangserschwerungsgesetz intelligente Dienstgüte (QoS) für Heimnetzwerke Florian Adamsky 3 / 48

6 Einleitung Prämisse QoSiLAN = Quality of Service for Local Area Networks 1. Phase Analysieren des Netzwerks Anforderungen Nahe-Echtzeit Erkennung 2. Phase Identifizieren der Protokolle Fokus auf Streaming-Protokolle Portabilität 3. Phase Reservieren und Priorisieren der Bandbreite Florian Adamsky 4 / 48

7 Einleitung Prämisse QoSiLAN = Quality of Service for Local Area Networks 1. Phase Analysieren des Netzwerks Anforderungen Nahe-Echtzeit Erkennung 2. Phase Identifizieren der Protokolle Fokus auf Streaming-Protokolle Portabilität 3. Phase Reservieren und Priorisieren der Bandbreite Florian Adamsky 4 / 48

8 Einleitung Prämisse QoSiLAN = Quality of Service for Local Area Networks 1. Phase Analysieren des Netzwerks Anforderungen Nahe-Echtzeit Erkennung 2. Phase Identifizieren der Protokolle Fokus auf Streaming-Protokolle Portabilität 3. Phase Reservieren und Priorisieren der Bandbreite Florian Adamsky 4 / 48

9 Einleitung Prämisse QoSiLAN = Quality of Service for Local Area Networks 1. Phase Analysieren des Netzwerks Anforderungen Nahe-Echtzeit Erkennung 2. Phase Identifizieren der Protokolle Fokus auf Streaming-Protokolle Portabilität 3. Phase Reservieren und Priorisieren der Bandbreite Florian Adamsky 4 / 48

10 Einleitung Prämisse QoSiLAN = Quality of Service for Local Area Networks 1. Phase Analysieren des Netzwerks Anforderungen Nahe-Echtzeit Erkennung 2. Phase Identifizieren der Protokolle Fokus auf Streaming-Protokolle Portabilität 3. Phase Reservieren und Priorisieren der Bandbreite Florian Adamsky 4 / 48

11 Einleitung Prämisse QoSiLAN = Quality of Service for Local Area Networks 1. Phase Analysieren des Netzwerks Anforderungen Nahe-Echtzeit Erkennung 2. Phase Identifizieren der Protokolle Fokus auf Streaming-Protokolle Portabilität 3. Phase Reservieren und Priorisieren der Bandbreite Florian Adamsky 4 / 48

12 Einleitung Prämisse QoSiLAN = Quality of Service for Local Area Networks 1. Phase Analysieren des Netzwerks Anforderungen Nahe-Echtzeit Erkennung 2. Phase Identifizieren der Protokolle Fokus auf Streaming-Protokolle Portabilität 3. Phase Reservieren und Priorisieren der Bandbreite Florian Adamsky 4 / 48

13 Netzwerkprotokoll Identifizierung Inhaltsverzeichnis 1 Einleitung 2 Netzwerkprotokoll Identifizierung Definition Techniken 3 Statistical Protocol IDentification Algorithmus Details Gruppierung in Flows Operation Implementierung Messverfahren 4 Evaluierung Ergebnisse 5 Ausblick: Protokoll-Obfuskation Florian Adamsky 5 / 48

14 Netzwerkprotokoll Identifizierung Definition Netzwerkprotokoll Identifizierung Definition Identifizierung des Protokolls, welches auf Layer 7 des OSI-Modells oder auf Layer 4 des TCP/IP-Modells läuft. = RTP = HTTP Computer A RTP Server Internet Switch Router HTTP Server Heimnetzwerk Florian Adamsky 6 / 48

15 Netzwerkprotokoll Identifizierung Definition Netzwerkprotokoll Identifizierung Definition Identifizierung des Protokolls, welches auf Layer 7 des OSI-Modells oder auf Layer 4 des TCP/IP-Modells läuft. = RTP = HTTP Computer A RTP Server Internet Switch Router HTTP Server Heimnetzwerk Florian Adamsky 6 / 48

16 Netzwerkprotokoll Identifizierung Definition Weitere Begriffe Application Identification Port Independent Protocol Identification (PIPI) Protocol Discovery Application Recognition Traffic Classification Florian Adamsky 7 / 48

17 Netzwerkprotokoll Identifizierung Definition Weitere Begriffe Application Identification Port Independent Protocol Identification (PIPI) Protocol Discovery Application Recognition Traffic Classification Florian Adamsky 7 / 48

18 Netzwerkprotokoll Identifizierung Definition Weitere Begriffe Application Identification Port Independent Protocol Identification (PIPI) Protocol Discovery Application Recognition Traffic Classification Florian Adamsky 7 / 48

19 Netzwerkprotokoll Identifizierung Definition Weitere Begriffe Application Identification Port Independent Protocol Identification (PIPI) Protocol Discovery Application Recognition Traffic Classification Florian Adamsky 7 / 48

20 Netzwerkprotokoll Identifizierung Definition Weitere Begriffe Application Identification Port Independent Protocol Identification (PIPI) Protocol Discovery Application Recognition Traffic Classification Florian Adamsky 7 / 48

21 Netzwerkprotokoll Identifizierung Definition Anforderungen an die Techniken Hohe Trefferquote mit wenigen oder keinen Falsch-Positiven Echtzeit-Erkennung unter hoher Netzwerklast Robust unter verschiedenen Netzwerkkonfigurationen Einfache Möglichkeit neue Protokolle zu lernen Resistent gegen Protokoll-Obfuskation Florian Adamsky 8 / 48

22 Netzwerkprotokoll Identifizierung Definition Anforderungen an die Techniken Hohe Trefferquote mit wenigen oder keinen Falsch-Positiven Echtzeit-Erkennung unter hoher Netzwerklast Robust unter verschiedenen Netzwerkkonfigurationen Einfache Möglichkeit neue Protokolle zu lernen Resistent gegen Protokoll-Obfuskation Florian Adamsky 8 / 48

23 Netzwerkprotokoll Identifizierung Definition Anforderungen an die Techniken Hohe Trefferquote mit wenigen oder keinen Falsch-Positiven Echtzeit-Erkennung unter hoher Netzwerklast Robust unter verschiedenen Netzwerkkonfigurationen Einfache Möglichkeit neue Protokolle zu lernen Resistent gegen Protokoll-Obfuskation Florian Adamsky 8 / 48

24 Netzwerkprotokoll Identifizierung Definition Anforderungen an die Techniken Hohe Trefferquote mit wenigen oder keinen Falsch-Positiven Echtzeit-Erkennung unter hoher Netzwerklast Robust unter verschiedenen Netzwerkkonfigurationen Einfache Möglichkeit neue Protokolle zu lernen Resistent gegen Protokoll-Obfuskation Florian Adamsky 8 / 48

25 Netzwerkprotokoll Identifizierung Definition Anforderungen an die Techniken Hohe Trefferquote mit wenigen oder keinen Falsch-Positiven Echtzeit-Erkennung unter hoher Netzwerklast Robust unter verschiedenen Netzwerkkonfigurationen Einfache Möglichkeit neue Protokolle zu lernen Resistent gegen Protokoll-Obfuskation Florian Adamsky 8 / 48

26 Netzwerkprotokoll Identifizierung Definition Einsatzmöglichkeit Netzwerk Bandbreitenmanagement mit QoS Security durch Intrusion Detection Systems (IDS) oder Intrusion Prevention Systems (IPS) graduelle Datentarife und Ad-Injection politische und soziale Kontrolle abhören und überwachen des Internetverkehrs filtern und zensieren von unliebsamen Inhalten Florian Adamsky 9 / 48

27 Netzwerkprotokoll Identifizierung Definition Einsatzmöglichkeit Netzwerk Bandbreitenmanagement mit QoS Security durch Intrusion Detection Systems (IDS) oder Intrusion Prevention Systems (IPS) graduelle Datentarife und Ad-Injection politische und soziale Kontrolle abhören und überwachen des Internetverkehrs filtern und zensieren von unliebsamen Inhalten Florian Adamsky 9 / 48

28 Netzwerkprotokoll Identifizierung Definition Einsatzmöglichkeit Netzwerk Bandbreitenmanagement mit QoS Security durch Intrusion Detection Systems (IDS) oder Intrusion Prevention Systems (IPS) graduelle Datentarife und Ad-Injection politische und soziale Kontrolle abhören und überwachen des Internetverkehrs filtern und zensieren von unliebsamen Inhalten Florian Adamsky 9 / 48

29 Netzwerkprotokoll Identifizierung Definition Einsatzmöglichkeit Netzwerk Bandbreitenmanagement mit QoS Security durch Intrusion Detection Systems (IDS) oder Intrusion Prevention Systems (IPS) graduelle Datentarife und Ad-Injection politische und soziale Kontrolle abhören und überwachen des Internetverkehrs filtern und zensieren von unliebsamen Inhalten Florian Adamsky 9 / 48

30 Netzwerkprotokoll Identifizierung Definition Einsatzmöglichkeit Netzwerk Bandbreitenmanagement mit QoS Security durch Intrusion Detection Systems (IDS) oder Intrusion Prevention Systems (IPS) graduelle Datentarife und Ad-Injection politische und soziale Kontrolle abhören und überwachen des Internetverkehrs filtern und zensieren von unliebsamen Inhalten Florian Adamsky 9 / 48

31 Netzwerkprotokoll Identifizierung Techniken Techniken 1 TCP/UDP Portnummern 2 Deep Packet Inspection 3 Maschinen-Lern-Algorithmen 4 Hybrid-Formen Florian Adamsky 10 / 48

32 Netzwerkprotokoll Identifizierung Techniken TCP/UDP Portnummern Theorem Portnummern sind keine robuste Methode zur Identifizierung. Beweis. Studie: rund % des Internet-Verkehrs kann identifiziert werden viele Anwendungen haben keine eindeutigen Portnummern (z.b. P2P) einige Ports sind mehrfach vergeben (z.b. TCP Port 888) Firewalls und NAT sind schuld, dass fast alles über Port 80 kommuniziert Angriffe sind üblicherweise nicht mit einem Port verknüpft Florian Adamsky 11 / 48

33 Netzwerkprotokoll Identifizierung Techniken TCP/UDP Portnummern Theorem Portnummern sind keine robuste Methode zur Identifizierung. Beweis. Studie: rund % des Internet-Verkehrs kann identifiziert werden viele Anwendungen haben keine eindeutigen Portnummern (z.b. P2P) einige Ports sind mehrfach vergeben (z.b. TCP Port 888) Firewalls und NAT sind schuld, dass fast alles über Port 80 kommuniziert Angriffe sind üblicherweise nicht mit einem Port verknüpft Florian Adamsky 11 / 48

34 Netzwerkprotokoll Identifizierung Techniken TCP/UDP Portnummern Theorem Portnummern sind keine robuste Methode zur Identifizierung. Beweis. Studie: rund % des Internet-Verkehrs kann identifiziert werden viele Anwendungen haben keine eindeutigen Portnummern (z.b. P2P) einige Ports sind mehrfach vergeben (z.b. TCP Port 888) Firewalls und NAT sind schuld, dass fast alles über Port 80 kommuniziert Angriffe sind üblicherweise nicht mit einem Port verknüpft Florian Adamsky 11 / 48

35 Netzwerkprotokoll Identifizierung Techniken TCP/UDP Portnummern Theorem Portnummern sind keine robuste Methode zur Identifizierung. Beweis. Studie: rund % des Internet-Verkehrs kann identifiziert werden viele Anwendungen haben keine eindeutigen Portnummern (z.b. P2P) einige Ports sind mehrfach vergeben (z.b. TCP Port 888) Firewalls und NAT sind schuld, dass fast alles über Port 80 kommuniziert Angriffe sind üblicherweise nicht mit einem Port verknüpft Florian Adamsky 11 / 48

36 Netzwerkprotokoll Identifizierung Techniken TCP/UDP Portnummern Theorem Portnummern sind keine robuste Methode zur Identifizierung. Beweis. Studie: rund % des Internet-Verkehrs kann identifiziert werden viele Anwendungen haben keine eindeutigen Portnummern (z.b. P2P) einige Ports sind mehrfach vergeben (z.b. TCP Port 888) Firewalls und NAT sind schuld, dass fast alles über Port 80 kommuniziert Angriffe sind üblicherweise nicht mit einem Port verknüpft Florian Adamsky 11 / 48

37 Netzwerkprotokoll Identifizierung Techniken TCP/UDP Portnummern Theorem Portnummern sind keine robuste Methode zur Identifizierung. Beweis. Studie: rund % des Internet-Verkehrs kann identifiziert werden viele Anwendungen haben keine eindeutigen Portnummern (z.b. P2P) einige Ports sind mehrfach vergeben (z.b. TCP Port 888) Firewalls und NAT sind schuld, dass fast alles über Port 80 kommuniziert Angriffe sind üblicherweise nicht mit einem Port verknüpft Florian Adamsky 11 / 48

38 Netzwerkprotokoll Identifizierung Techniken Deep Packet Inspection Definition Die DPI identifziert Protokolle mit multi-pattern matching Algorithmen. Bedeutet nicht tief ins Paket schauen. Pattern wird application signature genannt Im Moment die zuverlässigste Methode um Protokolle zu erkennen hohe Verbreitung in kommerziellen Produkten Florian Adamsky 12 / 48

39 Netzwerkprotokoll Identifizierung Techniken Deep Packet Inspection Definition Die DPI identifziert Protokolle mit multi-pattern matching Algorithmen. Bedeutet nicht tief ins Paket schauen. Pattern wird application signature genannt Im Moment die zuverlässigste Methode um Protokolle zu erkennen hohe Verbreitung in kommerziellen Produkten Florian Adamsky 12 / 48

40 Netzwerkprotokoll Identifizierung Techniken Deep Packet Inspection Definition Die DPI identifziert Protokolle mit multi-pattern matching Algorithmen. Bedeutet nicht tief ins Paket schauen. Pattern wird application signature genannt Im Moment die zuverlässigste Methode um Protokolle zu erkennen hohe Verbreitung in kommerziellen Produkten Florian Adamsky 12 / 48

41 Netzwerkprotokoll Identifizierung Techniken Deep Packet Inspection Definition Die DPI identifziert Protokolle mit multi-pattern matching Algorithmen. Bedeutet nicht tief ins Paket schauen. Pattern wird application signature genannt Im Moment die zuverlässigste Methode um Protokolle zu erkennen hohe Verbreitung in kommerziellen Produkten Florian Adamsky 12 / 48

42 Netzwerkprotokoll Identifizierung Techniken Deep Packet Inspection String matching exakter Treffer Aho-Corasick Wu-Manber SBOM annähernde Treffer Bloomfilter reguläre Ausdrücke L7-Filter Florian Adamsky 13 / 48

43 Netzwerkprotokoll Identifizierung Techniken Deep Packet Inspection String matching exakter Treffer Aho-Corasick Wu-Manber SBOM annähernde Treffer Bloomfilter reguläre Ausdrücke L7-Filter Florian Adamsky 13 / 48

44 Netzwerkprotokoll Identifizierung Techniken Deep Packet Inspection String matching exakter Treffer Aho-Corasick Wu-Manber SBOM annähernde Treffer Bloomfilter reguläre Ausdrücke L7-Filter Florian Adamsky 13 / 48

45 Netzwerkprotokoll Identifizierung Techniken Deep Packet Inspection Probleme keine Identifizierung, wenn Payload nicht lesbar ist hoher Aufwand notwendig, um neue Protokolle hinzuzufügen Dokumentation studieren und Gesetzmäßigkeiten finden Gesetzmäßigkeiten müssen gepflegt werden Es gibt Ansätze um automatisiert nach Application Signature zu suchen hohes Missbrauchspotenzial Florian Adamsky 14 / 48

46 Netzwerkprotokoll Identifizierung Techniken Deep Packet Inspection Probleme keine Identifizierung, wenn Payload nicht lesbar ist hoher Aufwand notwendig, um neue Protokolle hinzuzufügen Dokumentation studieren und Gesetzmäßigkeiten finden Gesetzmäßigkeiten müssen gepflegt werden Es gibt Ansätze um automatisiert nach Application Signature zu suchen hohes Missbrauchspotenzial Florian Adamsky 14 / 48

47 Netzwerkprotokoll Identifizierung Techniken Deep Packet Inspection Probleme keine Identifizierung, wenn Payload nicht lesbar ist hoher Aufwand notwendig, um neue Protokolle hinzuzufügen Dokumentation studieren und Gesetzmäßigkeiten finden Gesetzmäßigkeiten müssen gepflegt werden Es gibt Ansätze um automatisiert nach Application Signature zu suchen hohes Missbrauchspotenzial Florian Adamsky 14 / 48

48 Netzwerkprotokoll Identifizierung Techniken Deep Packet Inspection Probleme keine Identifizierung, wenn Payload nicht lesbar ist hoher Aufwand notwendig, um neue Protokolle hinzuzufügen Dokumentation studieren und Gesetzmäßigkeiten finden Gesetzmäßigkeiten müssen gepflegt werden Es gibt Ansätze um automatisiert nach Application Signature zu suchen hohes Missbrauchspotenzial Florian Adamsky 14 / 48

49 Netzwerkprotokoll Identifizierung Techniken Deep Packet Inspection Probleme keine Identifizierung, wenn Payload nicht lesbar ist hoher Aufwand notwendig, um neue Protokolle hinzuzufügen Dokumentation studieren und Gesetzmäßigkeiten finden Gesetzmäßigkeiten müssen gepflegt werden Es gibt Ansätze um automatisiert nach Application Signature zu suchen hohes Missbrauchspotenzial Florian Adamsky 14 / 48

50 Netzwerkprotokoll Identifizierung Techniken Deep Packet Inspection Probleme keine Identifizierung, wenn Payload nicht lesbar ist hoher Aufwand notwendig, um neue Protokolle hinzuzufügen Dokumentation studieren und Gesetzmäßigkeiten finden Gesetzmäßigkeiten müssen gepflegt werden Es gibt Ansätze um automatisiert nach Application Signature zu suchen hohes Missbrauchspotenzial Florian Adamsky 14 / 48

51 Netzwerkprotokoll Identifizierung Techniken Maschinen-Lern-Algorithmen Überwachtes Lernen Support Vector Machine Decision Tree Naive Bayes Unüberwachtes Lernen Neuronale Netze Probleme mathematisch komplex; daher aufwendig zu berechnen benötigen meist abgeschlossene Flows, sind daher unbrauchbar für Echtzeit-Identifizierung Florian Adamsky 15 / 48

52 Netzwerkprotokoll Identifizierung Techniken Maschinen-Lern-Algorithmen Überwachtes Lernen Support Vector Machine Decision Tree Naive Bayes Unüberwachtes Lernen Neuronale Netze Probleme mathematisch komplex; daher aufwendig zu berechnen benötigen meist abgeschlossene Flows, sind daher unbrauchbar für Echtzeit-Identifizierung Florian Adamsky 15 / 48

53 Netzwerkprotokoll Identifizierung Techniken Maschinen-Lern-Algorithmen Überwachtes Lernen Support Vector Machine Decision Tree Naive Bayes Unüberwachtes Lernen Neuronale Netze Probleme mathematisch komplex; daher aufwendig zu berechnen benötigen meist abgeschlossene Flows, sind daher unbrauchbar für Echtzeit-Identifizierung Florian Adamsky 15 / 48

54 Netzwerkprotokoll Identifizierung Techniken Maschinen-Lern-Algorithmen Überwachtes Lernen Support Vector Machine Decision Tree Naive Bayes Unüberwachtes Lernen Neuronale Netze Probleme mathematisch komplex; daher aufwendig zu berechnen benötigen meist abgeschlossene Flows, sind daher unbrauchbar für Echtzeit-Identifizierung Florian Adamsky 15 / 48

55 Netzwerkprotokoll Identifizierung Techniken Hybrid-Formen werden vermehrt verwendet Beispiel bekannte Protokolle mit DPI unbekannte Protokolle mit Statistik Florian Adamsky 16 / 48

56 Netzwerkprotokoll Identifizierung Techniken Hybrid-Formen werden vermehrt verwendet Beispiel bekannte Protokolle mit DPI unbekannte Protokolle mit Statistik Florian Adamsky 16 / 48

57 Netzwerkprotokoll Identifizierung Techniken Hybrid-Formen werden vermehrt verwendet Beispiel bekannte Protokolle mit DPI unbekannte Protokolle mit Statistik Florian Adamsky 16 / 48

58 Statistical Protocol IDentification Inhaltsverzeichnis 1 Einleitung 2 Netzwerkprotokoll Identifizierung Definition Techniken 3 Statistical Protocol IDentification Algorithmus Details Gruppierung in Flows Operation Implementierung Messverfahren 4 Evaluierung Ergebnisse 5 Ausblick: Protokoll-Obfuskation Florian Adamsky 17 / 48

59 Statistical Protocol IDentification Algorithmus Details Wer hat s erfunden? SPID: Statistical Protocol IDentification 2009 entwickelt von Erik Hjelmvik und Wolfgang John 1. Schritt: Gruppierung 2. Schritt: Analyse 3. Schritt: Operation Pakete Flows Byte Frequence Bytes Reoccuring Direction Bytes Meter Direction Changes Entropy Unicode Frequency Identifizierung Approximierung Florian Adamsky 18 / 48

60 Statistical Protocol IDentification Algorithmus Details Wer hat s erfunden? SPID: Statistical Protocol IDentification 2009 entwickelt von Erik Hjelmvik und Wolfgang John 1. Schritt: Gruppierung 2. Schritt: Analyse 3. Schritt: Operation Pakete Flows Byte Frequence Bytes Reoccuring Direction Bytes Meter Direction Changes Entropy Unicode Frequency Identifizierung Approximierung Florian Adamsky 18 / 48

61 Statistical Protocol IDentification Algorithmus Details Wer hat s erfunden? SPID: Statistical Protocol IDentification 2009 entwickelt von Erik Hjelmvik und Wolfgang John 1. Schritt: Gruppierung 2. Schritt: Analyse 3. Schritt: Operation Pakete Flows Byte Frequence Bytes Reoccuring Direction Bytes Meter Direction Changes Entropy Unicode Frequency Identifizierung Approximierung Florian Adamsky 18 / 48

62 Statistical Protocol IDentification Algorithmus Details Wer hat s erfunden? SPID: Statistical Protocol IDentification 2009 entwickelt von Erik Hjelmvik und Wolfgang John 1. Schritt: Gruppierung 2. Schritt: Analyse 3. Schritt: Operation Pakete Flows Byte Frequence Bytes Reoccuring Direction Bytes Meter Direction Changes Entropy Unicode Frequency Identifizierung Approximierung Florian Adamsky 18 / 48

63 Statistical Protocol IDentification Gruppierung in Flows Gruppierung Analyse auf bidirektionalen Flows Flows werden erkannt durch 5-Tupel 5-Tupel ist definiert: source IP source Port destination IP destination Port transport protokol TCP Flow beginnt erst nach Three-Way-Handshake Kaltstart-Problem Pure ACKs werden ignoriert, da kein Payload enthalten ist Florian Adamsky 19 / 48

64 Statistical Protocol IDentification Gruppierung in Flows Gruppierung Analyse auf bidirektionalen Flows Flows werden erkannt durch 5-Tupel 5-Tupel ist definiert: source IP source Port destination IP destination Port transport protokol TCP Flow beginnt erst nach Three-Way-Handshake Kaltstart-Problem Pure ACKs werden ignoriert, da kein Payload enthalten ist Florian Adamsky 19 / 48

65 Statistical Protocol IDentification Gruppierung in Flows Gruppierung Analyse auf bidirektionalen Flows Flows werden erkannt durch 5-Tupel 5-Tupel ist definiert: source IP source Port destination IP destination Port transport protokol TCP Flow beginnt erst nach Three-Way-Handshake Kaltstart-Problem Pure ACKs werden ignoriert, da kein Payload enthalten ist Florian Adamsky 19 / 48

66 Statistical Protocol IDentification Gruppierung in Flows Gruppierung Analyse auf bidirektionalen Flows Flows werden erkannt durch 5-Tupel 5-Tupel ist definiert: source IP source Port destination IP destination Port transport protokol TCP Flow beginnt erst nach Three-Way-Handshake Kaltstart-Problem Pure ACKs werden ignoriert, da kein Payload enthalten ist Florian Adamsky 19 / 48

67 Statistical Protocol IDentification Gruppierung in Flows Gruppierung Analyse auf bidirektionalen Flows Flows werden erkannt durch 5-Tupel 5-Tupel ist definiert: source IP source Port destination IP destination Port transport protokol TCP Flow beginnt erst nach Three-Way-Handshake Kaltstart-Problem Pure ACKs werden ignoriert, da kein Payload enthalten ist Florian Adamsky 19 / 48

68 Statistical Protocol IDentification Gruppierung in Flows Gruppierung Analyse auf bidirektionalen Flows Flows werden erkannt durch 5-Tupel 5-Tupel ist definiert: source IP source Port destination IP destination Port transport protokol TCP Flow beginnt erst nach Three-Way-Handshake Kaltstart-Problem Pure ACKs werden ignoriert, da kein Payload enthalten ist Florian Adamsky 19 / 48

69 Statistical Protocol IDentification Gruppierung in Flows Gruppierung Analyse auf bidirektionalen Flows Flows werden erkannt durch 5-Tupel 5-Tupel ist definiert: source IP source Port destination IP destination Port transport protokol TCP Flow beginnt erst nach Three-Way-Handshake Kaltstart-Problem Pure ACKs werden ignoriert, da kein Payload enthalten ist Florian Adamsky 19 / 48

70 Statistical Protocol IDentification Gruppierung in Flows Gruppierung Analyse auf bidirektionalen Flows Flows werden erkannt durch 5-Tupel 5-Tupel ist definiert: source IP source Port destination IP destination Port transport protokol TCP Flow beginnt erst nach Three-Way-Handshake Kaltstart-Problem Pure ACKs werden ignoriert, da kein Payload enthalten ist Florian Adamsky 19 / 48

71 Statistical Protocol IDentification Gruppierung in Flows Gruppierung Analyse auf bidirektionalen Flows Flows werden erkannt durch 5-Tupel 5-Tupel ist definiert: source IP source Port destination IP destination Port transport protokol TCP Flow beginnt erst nach Three-Way-Handshake Kaltstart-Problem Pure ACKs werden ignoriert, da kein Payload enthalten ist Florian Adamsky 19 / 48

72 Statistical Protocol IDentification Operation Identifizierung Operation: Kullback-Leibler Divergenz Die KL-Divergenz auch relative Entropie ist ein Maß für die Unterschiedlichkeit zweier Wahrscheinlichkeitsverteilungen. Eigenschaften D(P Q) = KL(P, Q) = x X P = trainierte Flows Q = vorbeifließende Flows nicht symmetrisch: KL(P, Q) KL(Q, P) P(x) log 2 P(x) Q(x) Wenn P = Q, dann gilt D(P Q) = 0, ansonsten D(P Q) > 0 Florian Adamsky 20 / 48

73 Statistical Protocol IDentification Operation Gesetz der großen Zahlen Die relative Häufigkeit eines zufälligen Ereignisses weicht für immer längere Versuchsserien beliebig von einem festen Grenzwert ab. relative Häufigkeit hn(xi) = k i n h n (E) P(E) Anzahl der Durchgänge n Florian Adamsky 21 / 48

74 Statistical Protocol IDentification Implementierung Implementierungen PoC in C# von Erik Hjelmvik mit über 30 Messverfahren ( Fork in C++ mit libpcap für Tests auf SoHo Geräten neue Leistungsmerkmale: Unterstützung des UDP Transport-Protokolls Echtzeit-Erkennung (live-capturing) optimierte Datenbank ausgewählte Messverfahren Git Repository git clone Florian Adamsky 22 / 48

75 Statistical Protocol IDentification Implementierung Implementierungen PoC in C# von Erik Hjelmvik mit über 30 Messverfahren ( Fork in C++ mit libpcap für Tests auf SoHo Geräten neue Leistungsmerkmale: Unterstützung des UDP Transport-Protokolls Echtzeit-Erkennung (live-capturing) optimierte Datenbank ausgewählte Messverfahren Git Repository git clone Florian Adamsky 22 / 48

76 Statistical Protocol IDentification Implementierung Implementierungen PoC in C# von Erik Hjelmvik mit über 30 Messverfahren ( Fork in C++ mit libpcap für Tests auf SoHo Geräten neue Leistungsmerkmale: Unterstützung des UDP Transport-Protokolls Echtzeit-Erkennung (live-capturing) optimierte Datenbank ausgewählte Messverfahren Git Repository git clone Florian Adamsky 22 / 48

77 Statistical Protocol IDentification Implementierung Implementierungen PoC in C# von Erik Hjelmvik mit über 30 Messverfahren ( Fork in C++ mit libpcap für Tests auf SoHo Geräten neue Leistungsmerkmale: Unterstützung des UDP Transport-Protokolls Echtzeit-Erkennung (live-capturing) optimierte Datenbank ausgewählte Messverfahren Git Repository git clone Florian Adamsky 22 / 48

78 Statistical Protocol IDentification Implementierung Implementierungen PoC in C# von Erik Hjelmvik mit über 30 Messverfahren ( Fork in C++ mit libpcap für Tests auf SoHo Geräten neue Leistungsmerkmale: Unterstützung des UDP Transport-Protokolls Echtzeit-Erkennung (live-capturing) optimierte Datenbank ausgewählte Messverfahren Git Repository git clone Florian Adamsky 22 / 48

79 Statistical Protocol IDentification Implementierung Implementierungen PoC in C# von Erik Hjelmvik mit über 30 Messverfahren ( Fork in C++ mit libpcap für Tests auf SoHo Geräten neue Leistungsmerkmale: Unterstützung des UDP Transport-Protokolls Echtzeit-Erkennung (live-capturing) optimierte Datenbank ausgewählte Messverfahren Git Repository git clone Florian Adamsky 22 / 48

80 Statistical Protocol IDentification Implementierung Implementierungen PoC in C# von Erik Hjelmvik mit über 30 Messverfahren ( Fork in C++ mit libpcap für Tests auf SoHo Geräten neue Leistungsmerkmale: Unterstützung des UDP Transport-Protokolls Echtzeit-Erkennung (live-capturing) optimierte Datenbank ausgewählte Messverfahren Git Repository git clone Florian Adamsky 22 / 48

81 Statistical Protocol IDentification Implementierung Implementierungen PoC in C# von Erik Hjelmvik mit über 30 Messverfahren ( Fork in C++ mit libpcap für Tests auf SoHo Geräten neue Leistungsmerkmale: Unterstützung des UDP Transport-Protokolls Echtzeit-Erkennung (live-capturing) optimierte Datenbank ausgewählte Messverfahren Git Repository git clone Florian Adamsky 22 / 48

82 Statistical Protocol IDentification Messverfahren Messverfahren Byte-Frequenz Anzahl der Richtungswechsel Datenmenge pro Richtung Hashfunktion über die ersten 4 Bytes Aktion und Reaktion Entropie Periodizität von Byte-Paaren Similarität der ersten drei Bytes Unicode-Frequenz Bit-Frequenz Payload-Größe des ersten Pakets Florian Adamsky 23 / 48

83 Statistical Protocol IDentification Messverfahren Messverfahren Byte-Frequenz Anzahl der Richtungswechsel Datenmenge pro Richtung Hashfunktion über die ersten 4 Bytes Aktion und Reaktion Entropie Periodizität von Byte-Paaren Similarität der ersten drei Bytes Unicode-Frequenz Bit-Frequenz Payload-Größe des ersten Pakets Florian Adamsky 23 / 48

84 Statistical Protocol IDentification Messverfahren Messverfahren: Byte-Frequenz Beispiel HTTP auch Häufigkeitsanalyse genannt operiert auf dem ersten TCP-Paket in jede Richtung zählt die relative Häufigkeit eines Bytes in Bezug auf seine Größe F 66 6 F 6 F G E T / f o o F 31 2 E 31 H T T P / 1. 1 Florian Adamsky 24 / 48

85 Statistical Protocol IDentification Messverfahren Messverfahren: Byte-Frequenz Beispiel HTTP auch Häufigkeitsanalyse genannt operiert auf dem ersten TCP-Paket in jede Richtung zählt die relative Häufigkeit eines Bytes in Bezug auf seine Größe F 66 6 F 6 F G E T / f o o F 31 2 E 31 H T T P / 1. 1 Florian Adamsky 24 / 48

86 Statistical Protocol IDentification Messverfahren Messverfahren: Byte-Frequenz Beispiel HTTP auch Häufigkeitsanalyse genannt operiert auf dem ersten TCP-Paket in jede Richtung zählt die relative Häufigkeit eines Bytes in Bezug auf seine Größe F 66 6 F 6 F G E T / f o o F 31 2 E 31 H T T P / 1. 1 Florian Adamsky 24 / 48

87 Statistical Protocol IDentification Messverfahren Messverfahren: Byte-Frequenz Beispiel HTTP auch Häufigkeitsanalyse genannt operiert auf dem ersten TCP-Paket in jede Richtung zählt die relative Häufigkeit eines Bytes in Bezug auf seine Größe F 66 6 F 6 F G E T / f o o F 31 2 E 31 H T T P / 1. 1 Florian Adamsky 24 / 48

88 Messverfahren: Byte-Frequenz = e relative Häufigkeit = SPACE = i Byte in Dezimal RTMP HTTP

89 Statistical Protocol IDentification Messverfahren Messverfahren: Richtungswechsel misst die Anzahl der Richtungswechsel bei n Pakten sind (n 1) Richtungswechsel möglich Differenzierung zwischen: häufige Richtungswechsel Interaktive Protokolle seltene Richtungswechsel Streaming Protokolle Florian Adamsky 26 / 48

90 Statistical Protocol IDentification Messverfahren Messverfahren: Richtungswechsel misst die Anzahl der Richtungswechsel bei n Pakten sind (n 1) Richtungswechsel möglich Differenzierung zwischen: häufige Richtungswechsel Interaktive Protokolle seltene Richtungswechsel Streaming Protokolle Florian Adamsky 26 / 48

91 Statistical Protocol IDentification Messverfahren Messverfahren: Richtungswechsel misst die Anzahl der Richtungswechsel bei n Pakten sind (n 1) Richtungswechsel möglich Differenzierung zwischen: häufige Richtungswechsel Interaktive Protokolle seltene Richtungswechsel Streaming Protokolle Florian Adamsky 26 / 48

92 Statistical Protocol IDentification Messverfahren Messverfahren: Richtungswechsel misst die Anzahl der Richtungswechsel bei n Pakten sind (n 1) Richtungswechsel möglich Differenzierung zwischen: häufige Richtungswechsel Interaktive Protokolle seltene Richtungswechsel Streaming Protokolle Florian Adamsky 26 / 48

93 Statistical Protocol IDentification Messverfahren Messverfahren: Richtungswechsel misst die Anzahl der Richtungswechsel bei n Pakten sind (n 1) Richtungswechsel möglich Differenzierung zwischen: häufige Richtungswechsel Interaktive Protokolle seltene Richtungswechsel Streaming Protokolle Florian Adamsky 26 / 48

94 Messverfahren: Richtungswechsel Anzahl der Richtungswechsel BT FLV FTP HTTP IRC MMS MPEG-TS OGG POP3 RTMP RTP SMTP SSH SSL Telnet TFTP WMV

95 Statistical Protocol IDentification Messverfahren Messverfahren: Datenmenge pro Richtung misst die Datenmenge in jede Richtung Verfahren setzt Up- und Download in prozentuales Verhältnis Differenzierung zwischen: Up/Down ausbalaciert fast nur Download fast nur Upload Florian Adamsky 28 / 48

96 Statistical Protocol IDentification Messverfahren Messverfahren: Datenmenge pro Richtung misst die Datenmenge in jede Richtung Verfahren setzt Up- und Download in prozentuales Verhältnis Differenzierung zwischen: Up/Down ausbalaciert fast nur Download fast nur Upload Florian Adamsky 28 / 48

97 Statistical Protocol IDentification Messverfahren Messverfahren: Datenmenge pro Richtung misst die Datenmenge in jede Richtung Verfahren setzt Up- und Download in prozentuales Verhältnis Differenzierung zwischen: Up/Down ausbalaciert fast nur Download fast nur Upload Florian Adamsky 28 / 48

98 Statistical Protocol IDentification Messverfahren Messverfahren: Datenmenge pro Richtung misst die Datenmenge in jede Richtung Verfahren setzt Up- und Download in prozentuales Verhältnis Differenzierung zwischen: Up/Down ausbalaciert fast nur Download fast nur Upload Florian Adamsky 28 / 48

99 Statistical Protocol IDentification Messverfahren Messverfahren: Datenmenge pro Richtung misst die Datenmenge in jede Richtung Verfahren setzt Up- und Download in prozentuales Verhältnis Differenzierung zwischen: Up/Down ausbalaciert fast nur Download fast nur Upload Florian Adamsky 28 / 48

100 Statistical Protocol IDentification Messverfahren Messverfahren: Datenmenge pro Richtung misst die Datenmenge in jede Richtung Verfahren setzt Up- und Download in prozentuales Verhältnis Differenzierung zwischen: Up/Down ausbalaciert fast nur Download fast nur Upload Florian Adamsky 28 / 48

101 Messverfahren: Datenmenge pro Richtung 1 Datenmenge in Prozent BT FLV FTP HTTP IRC MMS MPEG-TS OGG POP3 RTMP RTP SMTP SSH SSL Telnet TFTP WMV Absender zu Empfänger Empfänger zu Absender

102 Statistical Protocol IDentification Messverfahren Messverfahren: Paketgröße misst die Paketgröße des ersten Pakets Informationen über die Initialisierung Oft gibt es eine minimale und maximale Paketgröße Florian Adamsky 30 / 48

103 Statistical Protocol IDentification Messverfahren Messverfahren: Paketgröße misst die Paketgröße des ersten Pakets Informationen über die Initialisierung Oft gibt es eine minimale und maximale Paketgröße Florian Adamsky 30 / 48

104 Statistical Protocol IDentification Messverfahren Messverfahren: Paketgröße misst die Paketgröße des ersten Pakets Informationen über die Initialisierung Oft gibt es eine minimale und maximale Paketgröße Florian Adamsky 30 / 48

105 Messverfahren: Paketgröße Paketgröße 1, BT FLV FTP IRC HTTP MMS MPEG-TS OGG POP3 RTP SMTP SSH SSL Telnet TFTP RTMP WMV

106 Statistical Protocol IDentification Messverfahren Restliche Messverfahren Byte-Frequenz Anzahl der Richtungswechsel Datenmenge pro Richtung Hashfunktion über die ersten 4 Bytes Aktion und Reaktion Entropie Periodizität von Byte-Paaren Similarität der ersten drei Bytes Unicode-Frequenz Bit-Frequenz Payload-Größe des ersten Pakets Florian Adamsky 32 / 48

107 Statistical Protocol IDentification Messverfahren Restliche Messverfahren Byte-Frequenz Anzahl der Richtungswechsel Datenmenge pro Richtung Hashfunktion über die ersten 4 Bytes Aktion und Reaktion Entropie Periodizität von Byte-Paaren Similarität der ersten drei Bytes Unicode-Frequenz Bit-Frequenz Payload-Größe des ersten Pakets Florian Adamsky 32 / 48

108 Evaluierung Inhaltsverzeichnis 1 Einleitung 2 Netzwerkprotokoll Identifizierung Definition Techniken 3 Statistical Protocol IDentification Algorithmus Details Gruppierung in Flows Operation Implementierung Messverfahren 4 Evaluierung Ergebnisse 5 Ausblick: Protokoll-Obfuskation Florian Adamsky 33 / 48

109 Evaluierung Evaluierungsmethoden 90 % RTP (TP) 100 % RTP SPID-Algorithmus 5 % SMTP (FN) 5 % Unbekannt Kontigenztabelle tatsächlich positiv tatsächlich negativ positiv vorhergesagt richtig positiv (TP) falsch positiv (FP) negativ vorhergesagt falsch negativ (FN) richtig negativ (TN) Florian Adamsky 34 / 48

110 Evaluierung Evaluierungsmethoden 90 % RTP (TP) 100 % RTP SPID-Algorithmus 5 % SMTP (FN) 5 % Unbekannt Kontigenztabelle tatsächlich positiv tatsächlich negativ positiv vorhergesagt richtig positiv (TP) falsch positiv (FP) negativ vorhergesagt falsch negativ (FN) richtig negativ (TN) Florian Adamsky 34 / 48

111 Evaluierung Evaluierungsmethoden Trefferquote ist die Wahrscheinlichkeit mit der ein Protokoll richtig erkannt wird Genauigkeit Recall = TP TP + FN ist die Wahrscheinlichkeit der Treffermenge Precision = TP TP + FP F-Maß kombiniert Genauigkeit und Trefferquote F Maß = 2 Precision Recall Precision + Recall Florian Adamsky 35 / 48

112 Evaluierung Evaluierungsmethoden Trefferquote ist die Wahrscheinlichkeit mit der ein Protokoll richtig erkannt wird Genauigkeit Recall = TP TP + FN ist die Wahrscheinlichkeit der Treffermenge Precision = TP TP + FP F-Maß kombiniert Genauigkeit und Trefferquote F Maß = 2 Precision Recall Precision + Recall Florian Adamsky 35 / 48

113 Evaluierung Evaluierungsmethoden Trefferquote ist die Wahrscheinlichkeit mit der ein Protokoll richtig erkannt wird Genauigkeit Recall = TP TP + FN ist die Wahrscheinlichkeit der Treffermenge Precision = TP TP + FP F-Maß kombiniert Genauigkeit und Trefferquote F Maß = 2 Precision Recall Precision + Recall Florian Adamsky 35 / 48

114 Evaluierung Datenbestand Beschaffung aus freien Quellen corpora/ideval/data/1999data.html Erstellung eigener Mitschnitte soviel wie möglich automatisiert mit Perl Scripten 3135 Flows für 17 Protokolle die 1.5 GB ergeben Ich bin dankbar für Hinweise auf Datenbestände Kontakt Florian Adamsky 36 / 48

115 Evaluierung Datenbestand Beschaffung aus freien Quellen corpora/ideval/data/1999data.html Erstellung eigener Mitschnitte soviel wie möglich automatisiert mit Perl Scripten 3135 Flows für 17 Protokolle die 1.5 GB ergeben Ich bin dankbar für Hinweise auf Datenbestände Kontakt Florian Adamsky 36 / 48

116 Evaluierung Datenbestand Beschaffung aus freien Quellen corpora/ideval/data/1999data.html Erstellung eigener Mitschnitte soviel wie möglich automatisiert mit Perl Scripten 3135 Flows für 17 Protokolle die 1.5 GB ergeben Ich bin dankbar für Hinweise auf Datenbestände Kontakt Florian Adamsky 36 / 48

117 Evaluierung Datenbestand Beschaffung aus freien Quellen corpora/ideval/data/1999data.html Erstellung eigener Mitschnitte soviel wie möglich automatisiert mit Perl Scripten 3135 Flows für 17 Protokolle die 1.5 GB ergeben Ich bin dankbar für Hinweise auf Datenbestände Kontakt Florian Adamsky 36 / 48

118 Evaluierung Datenbestand Beschaffung aus freien Quellen corpora/ideval/data/1999data.html Erstellung eigener Mitschnitte soviel wie möglich automatisiert mit Perl Scripten 3135 Flows für 17 Protokolle die 1.5 GB ergeben Ich bin dankbar für Hinweise auf Datenbestände Kontakt Florian Adamsky 36 / 48

119 Evaluierung Datenbestand Beschaffung aus freien Quellen corpora/ideval/data/1999data.html Erstellung eigener Mitschnitte soviel wie möglich automatisiert mit Perl Scripten 3135 Flows für 17 Protokolle die 1.5 GB ergeben Ich bin dankbar für Hinweise auf Datenbestände Kontakt Florian Adamsky 36 / 48

120 Evaluierung Datenbestand Beschaffung aus freien Quellen corpora/ideval/data/1999data.html Erstellung eigener Mitschnitte soviel wie möglich automatisiert mit Perl Scripten 3135 Flows für 17 Protokolle die 1.5 GB ergeben Ich bin dankbar für Hinweise auf Datenbestände Kontakt Florian Adamsky 36 / 48

121 Evaluierung Datenbestand Beschaffung aus freien Quellen corpora/ideval/data/1999data.html Erstellung eigener Mitschnitte soviel wie möglich automatisiert mit Perl Scripten 3135 Flows für 17 Protokolle die 1.5 GB ergeben Ich bin dankbar für Hinweise auf Datenbestände Kontakt Florian Adamsky 36 / 48

122 Evaluierung Ergebnisse Ergebnisse Prozent BT FLV FTP HTTP IRC MMS MPEG-TS OGG POP3 RTMP RTP SMTP SSH SSL Telnet TFTP WMV Trefferquote Genauigkeit F-Maß Florian Adamsky 37 / 48

123 Evaluierung Ergebnisse Ergebnisse BitTorrent Flash Videos FTP HTTP IRC MMS MPEG-TS OGG Streams POP3 RTMP RTP (UDP) SMTP SSH SSL Telnet TFTP WMV Streams F-Measure in % Number of Inspected Packets Florian Adamsky 38 / 48

124 Evaluierung Ergebnisse Ergebnisse BitTorrent Flash Videos FTP HTTP IRC MMS MPEG-TS OGG Streams POP3 RTMP RTP (UDP) SMTP SSH SSL Telnet TFTP WMV Streams F-Measure in % Number of Trained Flows Florian Adamsky 39 / 48

125 Evaluierung Ergebnisse Ergebnisse BitTorrent Flash Videos FTP HTTP IRC MMS MPEG-TS OGG Streams POP3 RTMP RTP (UDP) SMTP SSH SSL Telnet TFTP WMV Streams F-Measure in % Threshold Florian Adamsky 40 / 48

126 Techniken zur Identifizierung von Netzwerk-Protokollen Evaluierung Ergebnisse Geschwindigkeitstest Linksys WRT54GL OS: OpenWRT 8.09 Kamikaze Kernel: CPU: 200 MHz MIPSel RAM: 16 MiB Dlink DIR 825 OS: OpenWRT Backfire Kernel: CPU: 680 MHz MIPS RAM: 64 MiB Florian Adamsky 41 / 48

127 Evaluierung Ergebnisse Linksys WRT54GL 1/2 8 TCP UDP Erkennungsdauer in sek ,000 1,200 1,400 Größe der Pakete in KB Florian Adamsky 42 / 48

128 Evaluierung Ergebnisse Linksys WRT54GL 2/2 6 TCP Erkennungsdauer in sek Anzahl der Protokolle in der Datenbank Florian Adamsky 43 / 48

129 Evaluierung Ergebnisse Dlink DIR 825 Erkennungsdauer in sek TCP UDP ,000 1,200 1,400 Größe der Pakete in KB Florian Adamsky 44 / 48

130 Ausblick: Protokoll-Obfuskation Inhaltsverzeichnis 1 Einleitung 2 Netzwerkprotokoll Identifizierung Definition Techniken 3 Statistical Protocol IDentification Algorithmus Details Gruppierung in Flows Operation Implementierung Messverfahren 4 Evaluierung Ergebnisse 5 Ausblick: Protokoll-Obfuskation Florian Adamsky 45 / 48

131 Ausblick: Protokoll-Obfuskation Protokoll-Obfuskation Definition Protokoll-Obfuskation hat das Ziel das Protkoll zu verschleiern und so eine Identifizierung zu vermeiden. Arten Payload Obfuskation Verschlüsselung (z.b. VPN) Flow-Level Obfuskation Protokolle BitTorrent (MSE - Message Stream Encryption) emule Skype... Florian Adamsky 46 / 48

132 Ausblick: Protokoll-Obfuskation Protokoll-Obfuskation Definition Protokoll-Obfuskation hat das Ziel das Protkoll zu verschleiern und so eine Identifizierung zu vermeiden. Arten Payload Obfuskation Verschlüsselung (z.b. VPN) Flow-Level Obfuskation Protokolle BitTorrent (MSE - Message Stream Encryption) emule Skype... Florian Adamsky 46 / 48

133 Ausblick: Protokoll-Obfuskation Protokoll-Obfuskation Definition Protokoll-Obfuskation hat das Ziel das Protkoll zu verschleiern und so eine Identifizierung zu vermeiden. Arten Payload Obfuskation Verschlüsselung (z.b. VPN) Flow-Level Obfuskation Protokolle BitTorrent (MSE - Message Stream Encryption) emule Skype... Florian Adamsky 46 / 48

134 Ausblick: Protokoll-Obfuskation Protokoll-Obfuskation Definition Protokoll-Obfuskation hat das Ziel das Protkoll zu verschleiern und so eine Identifizierung zu vermeiden. Arten Payload Obfuskation Verschlüsselung (z.b. VPN) Flow-Level Obfuskation Protokolle BitTorrent (MSE - Message Stream Encryption) emule Skype... Florian Adamsky 46 / 48

135 Ausblick: Protokoll-Obfuskation Protokoll-Obfuskation Definition Protokoll-Obfuskation hat das Ziel das Protkoll zu verschleiern und so eine Identifizierung zu vermeiden. Arten Payload Obfuskation Verschlüsselung (z.b. VPN) Flow-Level Obfuskation Protokolle BitTorrent (MSE - Message Stream Encryption) emule Skype... Florian Adamsky 46 / 48

136 Ausblick: Protokoll-Obfuskation Protokoll-Obfuskation Definition Protokoll-Obfuskation hat das Ziel das Protkoll zu verschleiern und so eine Identifizierung zu vermeiden. Arten Payload Obfuskation Verschlüsselung (z.b. VPN) Flow-Level Obfuskation Protokolle BitTorrent (MSE - Message Stream Encryption) emule Skype... Florian Adamsky 46 / 48

137 Ausblick: Protokoll-Obfuskation Protokoll-Obfuskation Definition Protokoll-Obfuskation hat das Ziel das Protkoll zu verschleiern und so eine Identifizierung zu vermeiden. Arten Payload Obfuskation Verschlüsselung (z.b. VPN) Flow-Level Obfuskation Protokolle BitTorrent (MSE - Message Stream Encryption) emule Skype... Florian Adamsky 46 / 48

138 Ausblick: Protokoll-Obfuskation Obfuskation verbessern nur Payload Verschlüsselung reicht nicht Werte die zufälliger sein sollten: Senderichtung der Pakete Inter-Arrival Time Paketgröße Alternativen Protokolle in andere Protokolle verstecken Florian Adamsky 47 / 48

139 Ausblick: Protokoll-Obfuskation Obfuskation verbessern nur Payload Verschlüsselung reicht nicht Werte die zufälliger sein sollten: Senderichtung der Pakete Inter-Arrival Time Paketgröße Alternativen Protokolle in andere Protokolle verstecken Florian Adamsky 47 / 48

140 Ausblick: Protokoll-Obfuskation Obfuskation verbessern nur Payload Verschlüsselung reicht nicht Werte die zufälliger sein sollten: Senderichtung der Pakete Inter-Arrival Time Paketgröße Alternativen Protokolle in andere Protokolle verstecken Florian Adamsky 47 / 48

141 Ausblick: Protokoll-Obfuskation Obfuskation verbessern nur Payload Verschlüsselung reicht nicht Werte die zufälliger sein sollten: Senderichtung der Pakete Inter-Arrival Time Paketgröße Alternativen Protokolle in andere Protokolle verstecken Florian Adamsky 47 / 48

142 Ausblick: Protokoll-Obfuskation Obfuskation verbessern nur Payload Verschlüsselung reicht nicht Werte die zufälliger sein sollten: Senderichtung der Pakete Inter-Arrival Time Paketgröße Alternativen Protokolle in andere Protokolle verstecken Florian Adamsky 47 / 48

143 Ausblick: Protokoll-Obfuskation Obfuskation verbessern nur Payload Verschlüsselung reicht nicht Werte die zufälliger sein sollten: Senderichtung der Pakete Inter-Arrival Time Paketgröße Alternativen Protokolle in andere Protokolle verstecken Florian Adamsky 47 / 48

144 Ausblick: Protokoll-Obfuskation Obfuskation verbessern nur Payload Verschlüsselung reicht nicht Werte die zufälliger sein sollten: Senderichtung der Pakete Inter-Arrival Time Paketgröße Alternativen Protokolle in andere Protokolle verstecken Florian Adamsky 47 / 48

145 Ausblick: Protokoll-Obfuskation Ende Danke für eure Aufmerksamkeit! Gibt es noch Fragen? Kontakt Florian Adamsky 48 / 48