a hálózati vírusvédelem és a szolgáltatásmegtagadásos … · •vírusvédelem: tárhely...

BME HIT Crysys.hu Bencsáth Boldizsár 2004 1

A hálózati vírusvédelem és a szolgáltatásmegtagadásos

támadások elleni védekezés problémái és kapcsolatai

Boldizsár BENCSÁTHBME HIT

Laboratory of Cryptography and Systems Security


•E-mail vírusvédelem Linux alapon

•DoS problémák a védelem területén

•Kísérleti megoldás

Tematika


Vírusvédelem fontossága

Trend Micro:

2003. 1. negyedév: 35 riasztás

2004. 1. negyedév: 232 riasztás

(iTnews) WORM_NETSKY.PWORM_NETSKY.DWORM_NETSKY.BWORM_NETSKY.QWORM_NETSKY.CPE_VALLA.AWORM_MOFEI.BWORM_LOVGATE.GPE_NIMDA.EWORM_BAGLE.GEN-1


Alapstruktúrák

MTA integrált vírusírtással

„alig” megkülönböztethető komponensek

Internet


Alapstruktúrák

Dual MTA struktúra

két önálló kiszolgáló, az egyik a vírusvédelemért felelős, a másik a kézbesítésért

vírusszűrő MTA/MDA


Alapstruktúrák

Dual MTA struktúra middleware-rel

K ill Vi r

relaying,TLS, Auth, domainek

local MDA,kiküldés,virtual mailboxalieses

vírus, spamkeresés


Alapstruktúrák

A 0.0.0.0 25 , 10025 lehet akár azonos processz is,

de lehet két teljesen önálló MTA entitás (pl. Qmail), vagy akár két különböző termék is.

K ill Vi r

0.0.0.0 25 127.0.0.1 10025

127.0.0.1 10024


Alapstruktúrák

Mail filtering logika

K ill Vi r

1 23

4

5


Alapstruktúrák

Queue manipuláció

K ill Vi r

1

23

4

6

5


K ill Vi r

daemonizált mag

Víruskereső mag 1

Víruskereső mag 2

ClamAVdaemon

„file” utility

kimtömörítő1

kimtömörítő2

unzip

Syslog

spamassassinclient

spamassassindaemon

RBL 1,2,3Razor(daemon)

DCC

Bayesmag

header

checking

Visszajelzés

karantén

archívum(md5)


Főbb kérdések a bevezetésben

•NDR (non-delivery report) sima leveleknél (honnan tudja az MTA ki jó címzett)

•percent hack, open relay védelem átgondolása

•víruskereső kiválasztása

•spam védelem lokális/globális. Bayes DB lokális/globális

•Vírus, spam NDR (vírus visszajelzés)

•karantén vagy eldobás

•tárhely, processzorkapacitás

•milyen middleware? mailscanner, amavis, amavisd-new, qmailscanner, stb.


Denial of service attack (DoS)

“Magic packet” – Protocol stack hiba (ping of death)“Network bandwidth consumption” “Overloading protocols” (resource consumption)-e.g. Slow SQL query on a web page or-Kulcsgenerálás, kripto függvények-de pl. vírusellenőrzés


Megoldások

• Protocol reordering• Stateless protocols (memory load-> computation

and network load transformation)• Tracing the source ( Internet anonimity?!)• Ingress filtering, rate control (what, how, which?)• Pricing algorithms, client side puzzleGyakori kérdések: Paraméterek, telepítés, analízis,

adaptáció


DoS és a levelezés•Sok fake NDR: kiküldött vírusra a visszajelzések „megölhetik” a hamisított feladó szerverét (és egyébként is zavarják a munkáját)

•Szerver direkt módon is lebénítható sok „sima” levéllel

•hibás levelek, továbbítók okozta hurok

•tárhely elfogyasztása (nagy levéllel)

•vírusvédelem: tárhely elfogyasztása, gép leterhelése speciális tömörített levéllel (egymásba ágyazott tömörítés, „óriási” redundáns fájl tömörítve kicsi stb.)

•hibás fejléccel rendelkező levél, stb.


védekezés

•túlterhelés esetén SMTP nem elérhető (újrapróbálkozik később)

•watchdog

•max. tömörítési arány

•max. beágyazási mélység

•header ellenőrzés, tiltás

•maximális levélméret meghatározás

•sok, kicsi, legális levél?

•false NDR (FNDR)?


Forgalmi okok

•Vírus

•Vírus false NDR (vírusriasztás)

•Spammer körlevele

•DHA (Directory Harvest Attack) – címgyűjtés

•Direkt, célzott DoS támadás

•Levelezési lista, hírlevél, „viral content” (adott esetben legális tartalom)


0100200300400500600700800900

1000

1 2 3 4 5 6

048

12162024

1 2 3 4 5 6

Server Model048

12162024

1 2 3 4 5 6

048

12162024

1 2 3 4 5 6

048

12162024

1 2 3 4 5 6

SERVER

Source 1

Source 2

Source 3

Source 4

Aggregate Traffic


0100200300400500600700800900

1000

1 2 3 4 5 6

048

12162024

1 2 3 4 5 6

048

12162024

1 2 3 4 5 6

048

12162024

1 2 3 4 5 6

SERVER

048

12162024

1 2 3 4 5 6

forrás 1

forrás 2

forrás 3

forrás 4

össz. forgalom

0100200300400500600700800900

1000

1 2 3 4 5 6

össz. forgalomnincs támadás

048

12162024

1 2 3 4 5 6

048

12162024

1 2 3 4 5 6048

12162024

1 2 3 4 5 6

támadó 1

támadó 2 támadó 3


A modell és az SMTP forgalom

•rendszeres levelek

•viszonylag modellezhető forgalom

•valódi kiugrások

•valódi DoS lehetőség

•levelek mérete hasonló, nem ingadozik

•feldolgozási szükséglet hasonló, kevéssé ingadozik

•tartalom is analizálható lehet

•nem „túl gyors”

•offline analízis lehetősége


MTA Virus scanner

MTA-scanner middleware

MDA

senderMTA


MTA

TCP wrapper Virus

scannerMTA-scanner middleware

DoS front-end client

DoS front-end

engine

MDA

senderMTA

Bernstein’sUCSPI-TCP

wrapper package


MTA

TCP wrapper Virus

scannerMTA-scanner middleware

DoS front-end client

DoS front-end

engine

MDA(real traffic)

messaging server (irc)

flooding client (zombie)

flooding client

flooding clientcontrol application

logging

DB for logging(& analysis)

logging (successful delivery)

Analysis tools

emulation of“real” legal

traffic


komonensek ma:

• (tcpserver)

• adossmtpd (rblsmtpd)

• adosd (perl statisztikai mag, unix domainsocketek, statisztika 2 másodpercenként)

• adosstat (állapotválotozó lekérdezés)

• naplózás stb.


…Apr 2 09:14:38 fw ster): 80.98.214.xxx is not filteredApr 2 09:14:43 fw ster): 80.98.214.xxx is not filteredApr 2 09:14:44 fw ster): 213.xxx.9.44 is not filteredApr 2 09:14:45 fw ster): 80.98.214.xxx is not filteredApr 2 09:14:46 fw ster): unfilter statdb13513Apr 2 09:14:46 fw ster): xxx.xxx.242.226 unfilteredApr 2 09:14:47 fw ster): 80.98.214.xxx is not filteredApr 2 09:14:49 fw ster): 80.98.214.xxx is not filteredApr 2 09:14:52 fw ster): xxx.14.130.159 is not filteredApr 2 09:14:56 fw ster): 80.98.214.xxx is not filteredApr 2 09:15:06 fw ster): filtering 0.271714285714286 traffic shorts_no:8Apr 2 09:15:06 fw ster): filtered 80.98.214.xxx, filtered traf: 0.2 (0.2)…Apr 2 09:17:50 fw ster): 212.24.xxx.98 is not filteredApr 2 09:18:03 fw ster): filtered site 80.98.214.xxx FOUNDApr 2 09:18:04 fw ster): 195.xxx.242.xxx is not filtered…Apr 2 09:50:02 fw ster): 80.98.214.xxx unfiltered

Minta naplóbejegyzések


Köszönöm a figyelmet!

Bencsáth BoldizsárBME HIT Üzleti Adatbiztonság Laboratóriumhttp://[email protected]

http://www.crysys.hu

mailto:[email protected]

a hálózati vírusvédelem és a szolgáltatásmegtagadásos … · •vírusvédelem: tárhely...

Documents