A hálózati vírusvédelem és a szolgáltatásmegtagadásos … · •vírusvédelem: tárhely...
Transcript of A hálózati vírusvédelem és a szolgáltatásmegtagadásos … · •vírusvédelem: tárhely...
BME HIT Crysys.hu Bencsáth Boldizsár 2004 1
A hálózati vírusvédelem és a szolgáltatásmegtagadásos
támadások elleni védekezés problémái és kapcsolatai
Boldizsár BENCSÁTHBME HIT
Laboratory of Cryptography and Systems Security
BME HIT Crysys.hu Bencsáth Boldizsár 2004 2
•E-mail vírusvédelem Linux alapon
•DoS problémák a védelem területén
•Kísérleti megoldás
Tematika
BME HIT Crysys.hu Bencsáth Boldizsár 2004 3
Vírusvédelem fontossága
Trend Micro:
2003. 1. negyedév: 35 riasztás
2004. 1. negyedév: 232 riasztás
(iTnews) WORM_NETSKY.PWORM_NETSKY.DWORM_NETSKY.BWORM_NETSKY.QWORM_NETSKY.CPE_VALLA.AWORM_MOFEI.BWORM_LOVGATE.GPE_NIMDA.EWORM_BAGLE.GEN-1
BME HIT Crysys.hu Bencsáth Boldizsár 2004 4
Alapstruktúrák
MTA integrált vírusírtással
„alig” megkülönböztethető komponensek
Internet
BME HIT Crysys.hu Bencsáth Boldizsár 2004 5
Alapstruktúrák
Dual MTA struktúra
két önálló kiszolgáló, az egyik a vírusvédelemért felelős, a másik a kézbesítésért
vírusszűrő MTA/MDA
BME HIT Crysys.hu Bencsáth Boldizsár 2004 6
Alapstruktúrák
Dual MTA struktúra middleware-rel
K ill Vi r
relaying,TLS, Auth, domainek
local MDA,kiküldés,virtual mailboxalieses
vírus, spamkeresés
BME HIT Crysys.hu Bencsáth Boldizsár 2004 7
Alapstruktúrák
A 0.0.0.0 25 , 10025 lehet akár azonos processz is,
de lehet két teljesen önálló MTA entitás (pl. Qmail), vagy akár két különböző termék is.
K ill Vi r
0.0.0.0 25 127.0.0.1 10025
127.0.0.1 10024
BME HIT Crysys.hu Bencsáth Boldizsár 2004 8
Alapstruktúrák
Mail filtering logika
K ill Vi r
1 23
4
5
BME HIT Crysys.hu Bencsáth Boldizsár 2004 9
Alapstruktúrák
Queue manipuláció
K ill Vi r
1
23
4
6
5
BME HIT Crysys.hu Bencsáth Boldizsár 2004 10
K ill Vi r
daemonizált mag
Víruskereső mag 1
Víruskereső mag 2
ClamAVdaemon
„file” utility
kimtömörítő1
kimtömörítő2
unzip
Syslog
spamassassinclient
spamassassindaemon
RBL 1,2,3Razor(daemon)
DCC
Bayesmag
header
checking
Visszajelzés
karantén
archívum(md5)
BME HIT Crysys.hu Bencsáth Boldizsár 2004 11
Főbb kérdések a bevezetésben
•NDR (non-delivery report) sima leveleknél (honnan tudja az MTA ki jó címzett)
•percent hack, open relay védelem átgondolása
•víruskereső kiválasztása
•spam védelem lokális/globális. Bayes DB lokális/globális
•Vírus, spam NDR (vírus visszajelzés)
•karantén vagy eldobás
•tárhely, processzorkapacitás
•milyen middleware? mailscanner, amavis, amavisd-new, qmailscanner, stb.
BME HIT Crysys.hu Bencsáth Boldizsár 2004 12
Denial of service attack (DoS)
“Magic packet” – Protocol stack hiba (ping of death)“Network bandwidth consumption” “Overloading protocols” (resource consumption)-e.g. Slow SQL query on a web page or-Kulcsgenerálás, kripto függvények-de pl. vírusellenőrzés
BME HIT Crysys.hu Bencsáth Boldizsár 2004 13
Megoldások
• Protocol reordering• Stateless protocols (memory load-> computation
and network load transformation)• Tracing the source ( Internet anonimity?!)• Ingress filtering, rate control (what, how, which?)• Pricing algorithms, client side puzzleGyakori kérdések: Paraméterek, telepítés, analízis,
adaptáció
BME HIT Crysys.hu Bencsáth Boldizsár 2004 14
DoS és a levelezés•Sok fake NDR: kiküldött vírusra a visszajelzések „megölhetik” a hamisított feladó szerverét (és egyébként is zavarják a munkáját)
•Szerver direkt módon is lebénítható sok „sima” levéllel
•hibás levelek, továbbítók okozta hurok
•tárhely elfogyasztása (nagy levéllel)
•vírusvédelem: tárhely elfogyasztása, gép leterhelése speciális tömörített levéllel (egymásba ágyazott tömörítés, „óriási” redundáns fájl tömörítve kicsi stb.)
•hibás fejléccel rendelkező levél, stb.
BME HIT Crysys.hu Bencsáth Boldizsár 2004 15
védekezés
•túlterhelés esetén SMTP nem elérhető (újrapróbálkozik később)
•watchdog
•max. tömörítési arány
•max. beágyazási mélység
•header ellenőrzés, tiltás
•maximális levélméret meghatározás
•sok, kicsi, legális levél?
•false NDR (FNDR)?
BME HIT Crysys.hu Bencsáth Boldizsár 2004 16
Forgalmi okok
•Vírus
•Vírus false NDR (vírusriasztás)
•Spammer körlevele
•DHA (Directory Harvest Attack) – címgyűjtés
•Direkt, célzott DoS támadás
•Levelezési lista, hírlevél, „viral content” (adott esetben legális tartalom)
BME HIT Crysys.hu Bencsáth Boldizsár 2004 17
0100200300400500600700800900
1000
1 2 3 4 5 6
048
12162024
1 2 3 4 5 6
Server Model048
12162024
1 2 3 4 5 6
048
12162024
1 2 3 4 5 6
048
12162024
1 2 3 4 5 6
SERVER
Source 1
Source 2
Source 3
Source 4
Aggregate Traffic
BME HIT Crysys.hu Bencsáth Boldizsár 2004 18
0100200300400500600700800900
1000
1 2 3 4 5 6
048
12162024
1 2 3 4 5 6
048
12162024
1 2 3 4 5 6
048
12162024
1 2 3 4 5 6
SERVER
048
12162024
1 2 3 4 5 6
forrás 1
forrás 2
forrás 3
forrás 4
össz. forgalom
0100200300400500600700800900
1000
1 2 3 4 5 6
össz. forgalomnincs támadás
048
12162024
1 2 3 4 5 6
048
12162024
1 2 3 4 5 6048
12162024
1 2 3 4 5 6
támadó 1
támadó 2 támadó 3
BME HIT Crysys.hu Bencsáth Boldizsár 2004 19
A modell és az SMTP forgalom
•rendszeres levelek
•viszonylag modellezhető forgalom
•valódi kiugrások
•valódi DoS lehetőség
•levelek mérete hasonló, nem ingadozik
•feldolgozási szükséglet hasonló, kevéssé ingadozik
•tartalom is analizálható lehet
•nem „túl gyors”
•offline analízis lehetősége
BME HIT Crysys.hu Bencsáth Boldizsár 2004 20
MTA Virus scanner
MTA-scanner middleware
MDA
senderMTA
BME HIT Crysys.hu Bencsáth Boldizsár 2004 21
MTA
TCP wrapper Virus
scannerMTA-scanner middleware
DoS front-end client
DoS front-end
engine
MDA
senderMTA
Bernstein’sUCSPI-TCP
wrapper package
BME HIT Crysys.hu Bencsáth Boldizsár 2004 22
MTA
TCP wrapper Virus
scannerMTA-scanner middleware
DoS front-end client
DoS front-end
engine
MDA(real traffic)
messaging server (irc)
flooding client (zombie)
flooding client
flooding clientcontrol application
logging
DB for logging(& analysis)
logging (successful delivery)
Analysis tools
emulation of“real” legal
traffic
BME HIT Crysys.hu Bencsáth Boldizsár 2004 23
komonensek ma:
• (tcpserver)
• adossmtpd (rblsmtpd)
• adosd (perl statisztikai mag, unix domainsocketek, statisztika 2 másodpercenként)
• adosstat (állapotválotozó lekérdezés)
• naplózás stb.
BME HIT Crysys.hu Bencsáth Boldizsár 2004 24
…Apr 2 09:14:38 fw ster): 80.98.214.xxx is not filteredApr 2 09:14:43 fw ster): 80.98.214.xxx is not filteredApr 2 09:14:44 fw ster): 213.xxx.9.44 is not filteredApr 2 09:14:45 fw ster): 80.98.214.xxx is not filteredApr 2 09:14:46 fw ster): unfilter statdb13513Apr 2 09:14:46 fw ster): xxx.xxx.242.226 unfilteredApr 2 09:14:47 fw ster): 80.98.214.xxx is not filteredApr 2 09:14:49 fw ster): 80.98.214.xxx is not filteredApr 2 09:14:52 fw ster): xxx.14.130.159 is not filteredApr 2 09:14:56 fw ster): 80.98.214.xxx is not filteredApr 2 09:15:06 fw ster): filtering 0.271714285714286 traffic shorts_no:8Apr 2 09:15:06 fw ster): filtered 80.98.214.xxx, filtered traf: 0.2 (0.2)…Apr 2 09:17:50 fw ster): 212.24.xxx.98 is not filteredApr 2 09:18:03 fw ster): filtered site 80.98.214.xxx FOUNDApr 2 09:18:04 fw ster): 195.xxx.242.xxx is not filtered…Apr 2 09:50:02 fw ster): 80.98.214.xxx unfiltered
Minta naplóbejegyzések
BME HIT Crysys.hu Bencsáth Boldizsár 2004 25
Köszönöm a figyelmet!
Bencsáth BoldizsárBME HIT Üzleti Adatbiztonság Laboratóriumhttp://[email protected]