Provider-basierte Botnetzdetektion: Status Quo und Herausforderungen



Ähnliche Dokumente
Botnetze und DDOS Attacken

Malware in Deutschland

Facts & Figures Aktueller Stand IPv4 und IPv6 im Internet. Stefan Portmann Netcloud AG

Version/Datum: Dezember-2006

Radware revolutioniert den DDOS Schutz. Markus Spahn: (Sales Manager)

Einkommensaufbau mit FFI:

IBM Security Systems: Intelligente Sicherheit für die Cloud

Fachbereich Medienproduktion

Exercise (Part II) Anastasia Mochalova, Lehrstuhl für ABWL und Wirtschaftsinformatik, Kath. Universität Eichstätt-Ingolstadt 1

Hackerangriffe und Cyber Security im Jahr 2015

Modul 6 Virtuelle Private Netze (VPNs) und Tunneling

MobiDM-App Handbuch für Windows Mobile

Heute. Morgen. Sicher. Dreamlab Technologies AG Was ist sicherer, Open Source oder Closed Source Software?

Open Source als de-facto Standard bei Swisscom Cloud Services

INTERXION Rechenzentrum & Cloud. Volker Ludwig Sales Director

DDoS-Schutz. Web-Shop unter Attacke?

Unternehmen-IT sicher in der Public Cloud

Die Renaissance von Unified Communication in der Cloud. Daniel Jonathan Valik UC, Cloud and Collaboration

Künstliche Intelligenz

Kurzanleitung um Transponder mit einem scemtec TT Reader und der Software UniDemo zu lesen


SENSIBILISIERUNG FÜR CYBERSICHERHEIT: RISIKEN FÜR VERBRAUCHER DURCH ONLINEVERHALTEN

Seminar: Konzepte von Betriebssytem- Komponenten

Visualisierung & Absicherung von Anwendungen, Benutzern und Inhalten. Sichtbarkeit & Transparenz: Entscheidungsqualität?

Internetplatz Schweiz

Aufbau eines IT-Servicekataloges am Fallbeispiel einer Schweizer Bank

Der Begriff Cloud. Eine Spurensuche. Patric Hafner geops

Von Perimeter-Security zu robusten Systemen

FIVNAT-CH. Annual report 2002

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version Optional einen DHCP Server.

ALM As-A-Service TFS zur hausinternen Cloud ausbauen

Rechnernetzwerke. Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können.

WAS IST DER KOMPARATIV: = The comparative

SharePoint 2010 Mobile Access

Dominik Stockem Datenschutzbeauftragter Microsoft Deutschland GmbH

Detektion und Prävention von Denial-of-Service Amplification Attacken Schutz des Netzes aus Sicht eines Amplifiers

Notice: All mentioned inventors have to sign the Report of Invention (see page 3)!!!

PONS DIE DREI??? FRAGEZEICHEN, ARCTIC ADVENTURE: ENGLISCH LERNEN MIT JUSTUS, PETER UND BOB

Schützen Sie Ihre Daten und Prozesse auf einfache Art und Weise. Matthias Kaempfer April,

Löschen eines erkannten aber noch nicht konfigurierten Laufwerks

Preis- und Leistungsverzeichnis der Host Europe GmbH. Firewalls V 1.1. Stand:

Corero Network Security

Spam und SPIT. Moritz Mertinkat mmertinkat AT rapidsoft DOT de. Aktuelle Schutzmöglichkeiten und Gegenmaßnahmen

Christian J. Dietrich dietrich [at] internet-sicherheit. de. Institut für Internet-Sicherheit FH Gelsenkirchen

Next Generation Firewall: Security & Operation Intelligence

2. Kommunikation und Synchronisation von Prozessen 2.2 Kommunikation zwischen Prozessen

Transport Layer Security Nachtrag Angriffe

Network Intrusion Detection

Technische Grundlagen von Internetzugängen

KASPERSKY SECURITY FOR VIRTUALIZATION 2015

Sicherheit auf dem Weg in die Microsoft Office365 Cloud Hybrider Exchange Schutz. Philipp Behmer Technical Consultant

ProSecure Sales Training 3/6. Beispiele für Attacken

Virtuelle Präsenz. Peer to Peer Netze. Bertolt Schmidt

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina)

Web Protection in Endpoint v10

ZENTRALER INFORMATIKDIENST DER JOHANNES KEPLER UNIVERSITÄT LINZ Abteilung Kundendienste und Dezentrale Systeme. PPP für Windows 3.

Aktuelle Entwicklungen

EEX Kundeninformation

VERLÄNGERUNGSANTRAG für ein Erasmus+ Praktikum für Studierende/Graduierte im Studienjahr 2014/2015 1

Konfigurationsanleitung IGMP Multicast - Video Streaming Funkwerk / Bintec. Copyright 5. September 2008 Neo-One Stefan Dahler Version 1.

Voraussetzungen für die Nutzung der Format Rechenzentrumslösung (Hosting)

Einführung. Internet vs. WWW

Exchange ActiveSync wird von ExRCA getestet. Fehler beim Testen von Exchange ActiveSync.

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

IT Security Investments 2003

Communications & Networking Accessories

EchoLink und Windows XP SP2

-Migration ganz einfach von POP3/IMAP4 zu Exchange Online. Christoph Bollig, Technologieberater Office 365

Prof. Dr. Norbert Pohlmann, Institut für Internet Sicherheit - if(is), Fachhochschule Gelsenkirchen. Lage der IT-Sicherheit im Mittelstand

eurex rundschreiben 213/11

Alle Informationen zu Windows Server 2003 Übersicht der Produkte

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September «Eine Firewall ohne IPS ist keine Firewall»

EU nimmt neues Programm Mehr Sicherheit im Internet in Höhe von 55 Millionen für mehr Sicherheit für Kinder im Internet an

Apache HBase. A BigTable Column Store on top of Hadoop

Händler Preisliste Trade Price List 2015

Aufgabe 3 Storm-Worm

Konzept zur Push Notification/GCM für das LP System (vormals BDS System)

Software Defined Storage Storage Transformation in der Praxis. April

KURZANLEITUNG. Firmware-Upgrade: Wie geht das eigentlich?

Security Patterns. Benny Clauss. Sicherheit in der Softwareentwicklung WS 07/08

Preisliste für The Unscrambler X

IPv6 only under Linux

DOSNET SMURF ATTACK EVIL TWIN

Einführung: Energieeffiziente IKT-Infrastruktur Herausforderungen für Unternehmen und Umweltpolitik

Die besten Chuck Norris Witze: Alle Fakten über den härtesten Mann der Welt (German Edition)

Axis Zertifizierungsprogramm Wie melde ich mich bei Prometric für die Axis Zertifizierungsprüfung an?

Sicherheits- & Management Aspekte im mobilen Umfeld

MICROMEDIA. SMPP Treiber Konfiguration

eco-report: Internet-Sicherheit 2014 Ein Report der eco Kompetenzgruppe Sicherheit unter der Leitung von Dr. Kurt Brand

RSA INTELLIGENCE DRIVEN SECURITY IN ACTION

Einführung in die. Netzwerktecknik

1.1 IPSec - Sporadische Panic

Cisco Security Monitoring, Analysis & Response System (MARS)

Titelbild1 ANSYS. Customer Portal LogIn

An integrated total solution for automatic job scheduling without user interaction

Contents. Interaction Flow / Process Flow. Structure Maps. Reference Zone. Wireframes / Mock-Up

Symbole zur Veranschaulichung der einschlägigen Informationskategorien Interoperabilität. Name des Unternehmers. Internetverbindung

2. Installieren von GFI LANguard N.S.S.

Methodik. Online-Befragung Untersuchung von Nutzung und Einstellung von Millennials zu Social Media in 24 Ländern

Transkript:

Sebastian Abt Hochschule Darmstadt / CASED CAST-Workshop Forensik und Internetkriminalität Darmstadt, 16.12.2010

MOTIVATION 2

Motivation Internetnutzung Jährlicher Trafficzuwachs des Internets beträgt ca. 50%. (Quelle: AMS-IX) (Quelle: DE-CIX) (Quelle: LINX) 3

Motivation Dienste- & Endgeräte-Heterogenität 4

Motivation Entwicklung Stärkere Netzkonvergenz Steigendes Umsatzpotenzial bei Providern (Single-Stopp-Shopping) Zunehmende Abhängigkeit von Verfügbarkeit und Performanz des Internets Attraktives Betätigungsfeld für Underground Economy Entgegenwirken durch Provider erforderlich 5

Anhang 1: Anhang 1: Motivation G Data Whitepaper 2009 Underground Economy Preisliste für Unterground-Artikel Preisliste für Unterground-Artikel G Data Whitepaper 2009 gutem Verhandlungsgeschick bestimmt wird. gutem Verhandlungsgeschick bestimmt wird. Zunehmende Professionalisierung Gefälschte Ausweise/Führerscheine Hacking just for fun ist Gefälschte außer Ausweise/Führerscheine Mode Ertragspotenzial durch Identitätsdiebstahl Kreditkartendiebstahl Erpressung / DoS Click-Fraud Spam... Botnetze als zu Grunde WoW-Account liegende je nach Umfang der Daten Infrastruktur und Level der Charaktere im Die Übersicht enthält Preise für Waren und Dienstleistungen, wie sie im Zeitraum von Juni und Juli Die 2009 Übersicht in Untergrundforen enthält Preise gehandelt für Waren wurden. und Dienstleistungen, Es gibt eine weite wie Preisspanne, sie im Zeitraum die von Rabatten Juni und und Juli 2009 in Untergrundforen gehandelt wurden. Es gibt eine weite Preisspanne, die von Rabatten und Produkt Min. Preis Max. Preis Produkt RAT abhängig von Features Min. 20,00 Preis Max. 100,00 Preis RAT Stealer abhängig s.o. von Features 20,00 5,00 100,00 40,00 Stealer s.o. 50,00 5,00 2.500,00 40,00 abhängig von Qualität der Fälschung 50,00 2.500,00 abhängig Bot-Datei von Preis Qualität nach Features der Fälschung und Programmierer 20,00 100,00 Bot-Datei Bot-Quellcode Preis nach Features und Programmierer 200,00 20,00 800,00 100,00 Bot-Quellcode 200,00 800,00 Dienstleistung Min. Preis Max. Preis Dienstleistung Hosting nach Umfang der Dienstleistung, Min. 5,00 Preis Max. 9.999,00 Preis Hosting von Webspace nach bis Umfang zu mehreren der Dienstleistung, Servern alles möglich 5,00 9.999,00 von FUD-Service Webspace bis zu mehreren Servern alles möglich 10,00 40,00 FUD-Service DDoS-Attacke pro Stunde 10,00 150,00 40,00 DDoS-Attacke Bot-Installs pro pro 1000 Stunde die Preise richten sich nach der geografischen 50,00 10,00 250,00 150,00 Bot-Installs Lage pro 1000 die Preise richten sich nach der geografischen 50,00 250,00 Lage 1 Million Spam-Mails an spezielle Adressaten, 300,00 800,00 1 z.b. Million Spieler Spam-Mails erhöhen den an spezielle Preis Adressaten, z.b. Spieler erhöhen den Preis 300,00 800,00 Daten Min. Preis Max. Preis Datenbanken für den Preis relevant sind genaue Inhalte und Umfang Min. 10,00 Preis Max. 250,00 Preis Datenbanken der Datenbank, für es geht den Preis um den relevant Kauf einer sind genaue Datenbank Inhalte und Umfang 10,00 250,00 der Kreditkartendaten Datenbank, es geht Preise um richten den Kauf sich einer nach Datenbank Vollständigkeit der Daten. 2 300 Kreditkartendaten Nur eine CC-Nummer Preise und Datum richten sind sich nicht nach viel Vollständigkeit Wert. Je mehr der Daten. 2 300 Nur mitgeliefert eine CC-Nummer werden, desto und Datum höher ist sind der nicht Preis. viel Wert. Je mehr Daten mitgeliefert 1 Million E-Mail-Adressen werden, desto höher verifizierte ist der Adressen Preis. oder von Interessen- 30,00 250,00 1 Gruppen Million E-Mail-Adressen kosten mehr verifizierte Adressen oder von Interessen- Gruppen kosten mehr 30,00 250,00 Accounts Min. Preis Max. Preis Accounts Steam-Account Preis richtet sich nach Menge der installierten Spiele Min. 2,00 Preis Max. 50,00 Preis Steam-Account Preis richtet sich nach Menge der installierten Spiele 2,00 5,00 30,00 50,00 WoW-Account je nach Umfang der Daten und Level der Charaktere im 5,00 30,00 Account Packstation-Account Preise richten sich nach Umfang der vorhanden 50,00 150,00 Packstation-Account Daten und danach,ob er Preise gefaked richten wurde sich oder nach gestohlen Umfang der vorhanden 50,00 150,00 Daten PayPal-Account und danach,ob je mehr er gefaked Daten von wurde den oder Account gestohlen vorhanden sind, desto 1,00 25,00 PayPal-Account höher Provider-basierte ist Preis je mehr Daten von Botnetzdetektion: den Account vorhanden sind, desto 1,00 25,00 höher ist der Preis 6 Click & Status Buy-Account Quo s.o. und Herausforderungen 10,00 35,00 Click E-Mail-Accounts & Buy-Account mit privaten s.o. Mails Preise variieren je nach Händler 10,00 1,00 35,00 5,00 E-Mail-Accounts mit privaten Mails Preise variieren je nach Händler 1,00 5,00 (Quelle: G Data Whitepaper 2009 - Underground Economy)

BOTNETZE 7

Botnetze Verwendung und Entstehung Infrastruktur der Underground Economy 1. Bestimmen der Botnetz-Architektur 2. Infektion von Endgeräten Remote Exploits Malware per Mail Drive-by Downloads USB-Sticks 3. Scheduling von Aufgaben Distributed Denial of Service Spam Infektionen... 8

Botnetze Zentralisierte Architektur Bot registriert sich bei C&C-Server Botmaster sendet Nachrichten an C&C- Server C&C-Server übermittelt Nachrichten an Bot botmaster C&C Traffic Angriffs Traffic Einfacher Architektur C&C-Server stellen Schwachpunkt dar C&C server C&C server IRC (Push) Bot betritt IRC-Channel (JOIN) bots bots bots.ddos.syn 192.168.1.10 80 900! bots bots HTTP (Pull) GET /cnc/mybot/vxdf01/de! Antwort enthält Command victim 9

Botnetze Dezentralisierte Architektur Kein zentraler Kommunikationsmittelpunkt (C&C-Server) Botmaster kommuniziert mit vereinzelten Bots Bots kommunizieren ad-hoc, z.b. Peer-to-Peer Komplexere Architektur Stärkere Überlebensfähigkeit C&C Traffic Angriffs Traffic bots bots bots botmaster bots bots bots victim 10

Europe, Middle East, and Africa Data Sheet Bot-infected computers A bot-infected computer is considered active on a given day if it carries out at least one attack on that day. This does not have to be continuous; rather, a single such computer can be active on a number of different days. In 2009, Symantec observed an average of 19,500 active bots per day in the EMEA region (figure 1), which is a 39 percent decrease from 2008, when 32,188 active bots were detected. In 2009, active bots in the EMEA region accounted for 48 percent of all active bots observed globally. Botnetze Bedrohungslage Active bot-infected computers by day 90,000 80,000 70,000 60,000 50,000 40,000 30,000 20,000 10,000 0 Europe, Middle East, and Africa Data Sheet Bot-infected computers by country Global 7 per. moving average In 2009, the EMEA region accounted for 48 percent of all bot-infected computers detected globally. Within the region, Germany had the highest percentage of bot-infected computers, with 14 percent of the regional total (table 5). This is the same percentage as 2008, when Germany ranked second in this category. Globally in 2009, Germany ranked fifth with 7 percent of the worldwide total. Jan 1, 2009 Feb 22, 2009 Apr 15, 2009 Jun 6, 2009 Jul 28, 2009 Sep 18, 2009 Nov 9, 2009 Dec 31, 2009 EMEA 48% der aktiven Bots weltweit auf EMEA- Systemen detektiert. Date EMEA Rank Percentage 2009 2008 Figure Country 1. Active bot-infected computers, 2009 EMEA and 2008 global EMEA 2009 Global Source: Symantec 1 2 Germany 14% 14% 7% 2 3 Italy 12% 11% 6% Symantec also measures 3 distinct 1 bot-infected Spain computers, which 12% are computers 15% that were 6% active at least once during the 4 reporting 4 period. Poland There were 3,249,704 12% distinct bot-infected 10% computers 6% recorded in the EMEA region in 2009. This is 32 percent less than the 4,776,967 observed in EMEA in 2008. It is 5 5 Turkey 7% 9% 3% worth noting that bot activity in EMEA in 2009 again closely mirrored global bot activity, as was the 6 7 France 7% 6% 3% case in 2008, except for the substantial drop in global activity in 2009 from September to November. 7 8 Portugal 5% 4% 2% This dip is discussed in detail in the concurrent volume of the Symantec Global Internet Security Threat 8 6 United Kingdom 5% 8% 2% Report and is mainly attributed to the shutdown of several botnets at this time, as well as changing 9 13 Hungary 1% propagation patterns. 8 4% 2% 10 9 Israel 3% 3% 1% Deutschland ist Vorreiter in der Anzahl Botinfizierter Systeme in EMEA. (Quelle: Symantec Table 5. Bot-infected EMEA Internet computers Security by country, Threat EMEA Report (2009)) Source: Symantec Italy had the second-highest number of bot-infected computers in EMEA in 2009, with 12 percent of the total. Italy accounted for 6 percent of the worldwide total in 2009, which made it the sixth-ranked 11

Botnetze Bedrohungslage Europe, Middle East, and Africa Data Sheet (Quelle: Arbor Networks ATLAS (8.12.2010)) 2009 Activity Rank EMEA Rank 2009 2008 Country Percentage 2009 2008 Malicious Code Spam Zombies Phishing Hosts Bots Attack Origin 1 2 3 4 5 6 7 8 9 10 1 2 8 6 3 4 7 5 14 18 Germany United Kingdom Russia Poland Spain Italy Turkey France Romania Hungary 12% 9% 8% 7% 7% 7% 6% 6% 4% 2% 14% 11% 6% 6% 9% 8% 6% 7% 2% 1% 10 1 5 11 6 8 4 9 14 38 4 8 1 2 6 5 3 14 9 16 1 4 3 5 7 10 11 6 2 9 1 8 11 4 3 2 5 6 31 9 1 2 6 8 5 4 7 3 11 16 Table (Quelle: 1. Malicious Symantec activity EMEA by country, Internet EMEA Security Threat Report (2009)) Source: Symantec Corporation The United Kingdom ranked second for malicious activity in the EMEA region in 2009, with 9 percent of the regional total. This is a decrease from 11 percent in 2008, when it also ranked second. Globally, the 12

Most Significant Operational Threats Respondents were asked to rank which threats they believe would pose the largest operational problems over the next 12 months (Figure 4). Displacing bots and botnet-enabled activities from last year, services, host or link DDoS threats took the top spot at nearly 35 percent, followed by botnets and bot-enabled activities at 21 percent. Additional concerns, in descending order, included credentials theft, DNS cache poisoning, route hijacking, system or infrastructure compromise, and worms. Worldwide Infrastructure Security Report, Volume V Link, Host or Services DDoS Survey Respondents 35% 30% Largest Anticipated Threat Next 12 Months Credential/Identity Theft BGP Route Hijacking (Malicious or Unintentional) ISPs: Bots, Botnets, AV and Malware DNS Cache Poisoning Network-based worms 40% have declined significantly as a perceived threat over the last several years. This is to be expected given a concerted and effective effort by operating system vendors to decrease wormable vulnerabilities, and in part reflects the 30% continued shift to client-side infections and Web 2.0 worms affecting popular sites and services, such as Twitter and Facebook. Coincidentally, the 20th anniversary of the Morris Worm in November 2008 coincided with an out-of-cycle patch from Microsoft 20% to address a wormable vulnerability described in Microsoft Security Bulletin MS08-067, a vulnerability for which exploits were seen nearly immediately10% in the wild. It cannot be understated that MS08-067 in late 2008 was considered an anomaly. DNS cache poisoning dropped 0% observably in the rankings as a primary concern, perhaps in large part because of little observed exploit activity in the wild, and certainly because the previous year s survey feedback period squarely overlapped with the disclosure of new cache (Quelle: poisoning Arbor FigureNetworks 18: techniques. Observed World Bots The Wide increase Past Infrastructure 12 Months in relative Security prioritization Report (2009)) of system/infrastructure compromise and credentials theft reflects thesource: growing Arbor awareness Networks, Inc. of and emphasis on security vulnerabilities in infrastructure components in general and within the security research community 16. Dezember in particular. The 2010 increasing numbers of vulnerabilities and fixes announced The by major Other infrastructure category included vendors phishing, is the single drop sites largest and factor an array in raising of other public malicious consciousness activities. of this threat category. As previously indicated, respondents were also provided with a free-form text entry field under this line of questions, as well Botnets System/Infrastructure Compromise the rest of the survey, it is20% simply meant to be somewhat representative of the network operator perspective on the issue. 15% Respondents were asked10% what activities they have personally observed bots performing over the past year (Figure 18). 5% 0% Worms We asked respondents an array of questions ranging from botnet sizing, to distribution of anti-virus (AV) and malware, to walled garden and quarantine techniques. 25% Some of the data sets returned are clearly more useful than others, but we will share the lot of it here nonetheless. Most of the information in this section is shared as is, with very few author conclusions provided. As with Botnet Activities Not surprisingly, spam and DDoS share the top spot, followed by click fraud, ID theft and an array of other nefarious activities. Survey Respondents 50% Observed Bots Past 12 Months Figure 4: Largest Anticipated Threat Next 12 Months Source: DDoSArbor Attacks Networks, Inc. Spam Clickfraud ID Theft Other Botnetze Bedrohungslage Botnetze stellen aus Sicht von Netzbetreibern zweit größte Gefährdung des Internets für 2010 dar. Vornehmliche Nutzung von Botnetzen zur Durchführung von DDoS-Attacken und zum Versand von Spam. 13

PROVIDER-BASIERTE BOTNETZDETEKTION 14

Provider-basierte Detektion Host-basierte Detektion offensichtlich nicht ausreichend Weakest-Link Prinzip Kein AV-Scanner Veraltete Signaturen Böswilliges Verhalten Systeme werden nicht von Provider betrieben Limitierte Sicht auf Ereignisse Netz-basierte Botnetzdetektion Detektion innerhalb des SP-Netzwerks 15

Spannungsverhältnis Provider-basierte Detektion Herausforderungen Privatsphäre Geschwindigkeit Akkuratheit Kosten 16

Geschwindigkeit Provider-basierte Detektion Herausforderungen Hohe Trafficraten (n * 10 Gbit/s, 100 Gbit/s) Zeitnahe Detektion Attack Outbreak Attack Mitigation Network Scans Attack Detection Attack Characterization Attack Analysis time Pre-Attack Phase Attack Phase Post-Attack Phase 17

Provider-basierte Detektion Herausforderungen rt he ly ll n st, a of x- g- o- y al c- rt he 5- Akkuratheit unlcassified 10.6% Heterogene legitime Traffic-Pattern Hohe Raten legitimen Traffics Geringer Botnet-Traffic HTTP 57.6% otherdpd 10% BitTorrent 8.5% edonkey 5% NNTP 4.8% Figure 5: Application Mix for trace SEP. well known 3.6% (Quelle: Maier et al., On Dominant Characteris0cs of Residen0al Broadband Internet Traffic (IMC09)) (Quelle: Team Cymru (8.12.2010)) deep packet inspection and traffic management systems at selected customers sites to assess the application usage [45, 46, 40]. Cache- 18

Provider-basierte Detektion Kosten Überprovisionierte Netze bei Providern DDoS kann transportiert werden Spam fällt nicht auf Dediziertes Personal teuer Infrastruktur teuer Komplexität und Fehleranfälligkeit steigen Survey Respondents 60% 50% 40% 30% 20% 10% 0% Herausforderungen Size of Dedicated Security Staff 1 2-4 Tier 1 Tier 2, 3 or Regional Figure 17: Size of Dedicated Staff Source: Arbor Networks, Inc. 5-8 9-14 15 or more Education or Academic Hosting Provider Content or CDN Worldwide Infrastructure Security Report, None Other (Quelle: Arbor Networks World Wide Infrastructure Security Report (2009)) 19

Privatsphäre Provider-basierte Detektion Legitimer Traffic enthält sensible Daten E-Mail Voice over IP Nutzung von Webseiten Telekommunikationsgeheimnis Herausforderungen Grundsätzlicher Mitschnitt und Analyse von IP-Verkehr gestattet? 20

Kondensierung auf... Provider-basierte Detektion Herausforderung Art, Umfang und Dauer gespeicherter Daten Positionierung und Dimensionierung der Detektionssysteme De-centralization ISP scope Core Aggregation Access Customer Increasing bandwidth and traffic levels 21

Provider-basierte Detektion Aktuelle Lage ernüchternd Im Mittel wenig bis gar keine expliziten Aktivitäten zur Botnetdetektion Jedoch einige erfreulich aktive Ausnahmen Wenig kommerzielle Systeme erhältlich Individuelle Erweiterung existierender Systeme Primär Schutz vor DDoS Status Quo Wird als Risiko für eigene Infrastruktur angesehen Linderung von Symptomen! 22

Provider-basierte Detektion Honeypods / Honeynets / Darknets Betrieb von Honeypods in ungenutzten Adressbereichen (Darknet) Mitschnitt (tcpdump) der ein- und ausgehenden Datenpakete Ermöglicht tiefgehende Analyse Status Quo Derzeit primär zur Erzeugung von Blacklisten / zum source-based Blackholing 23

Provider-basierte Detektion Log-Analyse / -korrelation Log-Analyse Netz-zentrischer Dienste (Radius/DHCP, DNS, SMTP) Instantaner Anstieg an Mail-Bounces Massiver Mailversand (Outbound) Erhöhte DNS-Abfragen Erhöhte Anzahl an Dial-In Versuchen Detektion kompromittierter Systeme im eigenen Netz Status Quo 24

Provider-basierte Detektion Betrieb von offline Cleaning-Center Ausleiten von verdächtigem Netzwerktraffic Einsatz ursprünglich zur Filterung von Angriffen Analyse von verdächtigen Hosts Status Quo Analyse (und Bereinigung) Eingehender Traffic Legitimer Traffic Kunde 25

Provider-basierte Detektion Status Quo Kommunikation / Kollaboration Community stark Personen-fixiert Shadow-Server Projekt Team Cymru / nsp-sec Sehr restriktiv: Vertrauenswürdigkeit, Glaubwürdigkeit und Reputation Zugang nur per Votum mindestens zweier Mitglieder und keinem Widerspruch Offener Austausch von Daten, Informationen, Tools und Heads-Up s Security by Obscurity 26

Zusammenfassung Provider-basierte Detektion Kaum Bestrebungen zur dedizierten Botnetzdetektion in Provider-Netzen Derzeit Vorkehrungen zur DDoS-Detektion und Mitigation Kaum Transfer zwischen Forschung und Industrie Status Quo Wenig Inter-Provider Kommunikation, speziell bei mittleren und kleinen ISPs Status Quo und Herausforderungen 27

UNSERE VISION 28

Verteilter Detektionsansatz Unsere Vision Verteilter, mehrstufiger Ansatz Sensoren in Service-Provider Netzen und Unternehmensnetzwerken Platzierung an strategischen Punkten 29

Verteilter Detektionsansatz Automatisierter Datenaustausch Unsere Vision Verteilter, mehrstufiger Ansatz Horizontal: Service-Provider/Service-Provider Vertikal: Service-Provider/Unternehmen 30

Unsere Vision Verteilter, mehrstufiger Ansatz Mehrstufiger Detektionsansatz Analyseverfahren und Datenbasis in Abhängigkeit von Konfidenz, Eskalationsstufe und Gefahrenlage Großflächige high-level Datenanalyse auf Basis von Flowdaten (Netflow, IPFIX, sflow) bzw. Traffic-Aggregaten bei Providern Feingranulare Paketanalyse (Deep Packet Inspection) und aktives Testing in Unternehmensnetzen 31

Unsere Vision Sensoren im Providernetz Flowdaten-Export auf Netzkomponenten Transportnetzwerk gleichzeitig Sensornetzwerk Breite Sicht auf Ereignisse Out-of-the-box Funktionalität, d.h. kostenneutral Hardware-gestützte Sensoren FPGA, GPU Aggregierte Traffic-Informationen 32

Unsere Vision Flowdaten Definierendes 5-Tupel: Flow = (IP src, IP dst, Port src, Port dst, L4Type) Flow Keys 2009-11-08 11:00:24.859 0.000 UDP 195.5.6.10:53 -> 62.216.168.9:63568 1 174 1 2009-11-08 11:00:24.859 0.000 UDP 199.166.219.2:53 -> 62.216.168.9:14527 1 111 1 2009-11-08 11:00:25.050 0.000 UDP 85.199.132.75:34594 -> 62.216.168.9:53 1 72 1 2009-11-08 11:00:54.007 0.384 TCP 208.83.137.118:2703 -> 62.216.168.11:38438 6 517 1 2009-11-08 11:00:54.392 0.384 TCP 208.83.139.204:2703 -> 62.216.168.11:45088 6 638 1 33

Unsere Vision Flowdaten Traffic Host B Host A 2009-11-08 11:00:24.859 0.000 UDP 195.5.6.10:53 -> 62.216.168.9:63568 1 174 1 2009-11-08 11:00:24.859 0.000 UDP 199.166.219.2:53 -> 62.216.168.9:14527 1 111 1 2009-11-08 11:00:25.050 0.000 UDP 85.199.132.75:34594 -> 62.216.168.9:53 1 72 1 2009-11-08 11:00:54.007 0.384 TCP 208.83.137.118:2703 -> 62.216.168.11:38438 6 517 1 2009-11-08 11:00:54.392 0.384 TCP 208.83.139.204:2703 -> 62.216.168.11:45088 6 638 1 34

Unsere Vision Entwicklung einer Collector-Plattform Honeynet/Darknet zum Sammeln von Flow- und tcpdump-referenzdaten Provider-übergreifender Einsatz Analyse der Daten Training von ML- Algorithmen Vergleich des Informationsgehaltes der Daten Primary uplink Tunnel connections (IPSec, GRE, IPIP) Upstream firewall and router Application layer devices NTP server DNS server ntp data dns data Internal Gateway smtp data Application layer devices Mail server Aktuelle Arbeit Transparent proxy 00100110100100101001 Physical machines Flow Collector Honeypots and malware collection Virtual machine host Storage devices 35

Danke! Fragen? Sebastian Abt sebastian.abt@h-da.de

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback