1 / 25

A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés

A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés problémái és kapcsolatai Boldizsár BENCSÁTH BME HIT Laboratory of Cryptography and Systems Security. Tematika. E-mail vírusvédelem Linux alapon DoS problémák a védelem területén Kísérleti megoldás.

rigel-cervantes
Download Presentation

A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés problémái és kapcsolatai Boldizsár BENCSÁTH BME HIT Laboratory of Cryptography and Systems Security BME HIT Crysys.hu Bencsáth Boldizsár 2004

  2. Tematika • E-mail vírusvédelem Linux alapon • DoS problémák a védelem területén • Kísérleti megoldás BME HIT Crysys.hu Bencsáth Boldizsár 2004

  3. Vírusvédelemfontossága Trend Micro: 2003. 1. negyedév: 35 riasztás 2004. 1. negyedév: 232 riasztás (iTnews) WORM_NETSKY.P WORM_NETSKY.D WORM_NETSKY.B WORM_NETSKY.Q WORM_NETSKY.C PE_VALLA.A WORM_MOFEI.B WORM_LOVGATE.G PE_NIMDA.E WORM_BAGLE.GEN-1 BME HIT Crysys.hu Bencsáth Boldizsár 2004

  4. Alapstruktúrák Internet MTA integrált vírusírtással „alig” megkülönböztethető komponensek BME HIT Crysys.hu Bencsáth Boldizsár 2004

  5. Alapstruktúrák MTA/ MDA vírusszűrő Dual MTA struktúra két önálló kiszolgáló, az egyik a vírusvédelemért felelős, a másik a kézbesítésért BME HIT Crysys.hu Bencsáth Boldizsár 2004

  6. Alapstruktúrák local MDA, kiküldés, virtual mailbox alieses relaying, TLS, Auth, domainek vírus, spamkeresés Dual MTA struktúra middleware-rel BME HIT Crysys.hu Bencsáth Boldizsár 2004

  7. Alapstruktúrák 0.0.0.0 25 127.0.0.1 10025 127.0.0.1 10024 A 0.0.0.0 25 , 10025 lehet akár azonos processz is, de lehet két teljesen önálló MTA entitás (pl. Qmail), vagy akár két különböző termék is. BME HIT Crysys.hu Bencsáth Boldizsár 2004

  8. Alapstruktúrák 5 2 1 3 4 Mail filtering logika BME HIT Crysys.hu Bencsáth Boldizsár 2004

  9. Alapstruktúrák 6 1 5 2 4 3 Queue manipuláció BME HIT Crysys.hu Bencsáth Boldizsár 2004

  10. archívum (md5) Syslog header checking daemonizált mag Visszajelzés karantén kimtömörítő 1 spamassassin client kimtömörítő 2 spamassassin daemon unzip Víruskereső mag 1 Bayes mag Víruskereső mag 2 „file” utility ClamAV daemon Razor (daemon) RBL 1,2,3 DCC BME HIT Crysys.hu Bencsáth Boldizsár 2004

  11. Főbb kérdések a bevezetésben • NDR (non-delivery report) sima leveleknél (honnan tudja az MTA ki jó címzett) • percent hack, open relay védelem átgondolása • víruskereső kiválasztása • spam védelem lokális/globális. Bayes DB lokális/globális • Vírus, spam NDR (vírus visszajelzés) • karantén vagy eldobás • tárhely, processzorkapacitás • milyen middleware? mailscanner, amavis, amavisd-new, qmailscanner, stb. BME HIT Crysys.hu Bencsáth Boldizsár 2004

  12. Denial of service attack (DoS) “Magic packet” – Protocol stack hiba (ping of death) “Network bandwidth consumption” “Overloading protocols” (resource consumption) -e.g. Slow SQL query on a web page or -Kulcsgenerálás, kripto függvények -de pl. vírusellenőrzés BME HIT Crysys.hu Bencsáth Boldizsár 2004

  13. Megoldások • Protocol reordering • Stateless protocols (memory load-> computation and network load transformation) • Tracing the source ( Internet anonimity?!) • Ingress filtering, rate control (what, how, which?) • Pricing algorithms, client side puzzle Gyakori kérdések: Paraméterek, telepítés, analízis, adaptáció BME HIT Crysys.hu Bencsáth Boldizsár 2004

  14. DoS és a levelezés • Sok fake NDR: kiküldött vírusra a visszajelzések „megölhetik” a hamisított feladó szerverét (és egyébként is zavarják a munkáját) • Szerver direkt módon is lebénítható sok „sima” levéllel • hibás levelek, továbbítók okozta hurok • tárhely elfogyasztása (nagy levéllel) • vírusvédelem: tárhely elfogyasztása, gép leterhelése speciális tömörített levéllel (egymásba ágyazott tömörítés, „óriási” redundáns fájl tömörítve kicsi stb.) • hibás fejléccel rendelkező levél, stb. BME HIT Crysys.hu Bencsáth Boldizsár 2004

  15. védekezés • túlterhelés esetén SMTP nem elérhető (újrapróbálkozik később) • watchdog • max. tömörítési arány • max. beágyazási mélység • header ellenőrzés, tiltás • maximális levélméret meghatározás • sok, kicsi, legális levél? • false NDR (FNDR)? BME HIT Crysys.hu Bencsáth Boldizsár 2004

  16. Forgalmi okok • Vírus • Vírus false NDR (vírusriasztás) • Spammer körlevele • DHA (Directory Harvest Attack) – címgyűjtés • Direkt, célzott DoS támadás • Levelezési lista, hírlevél, „viral content” (adott esetben legális tartalom) BME HIT Crysys.hu Bencsáth Boldizsár 2004

  17. Server Model Source 1 Aggregate Traffic Source 2 SERVER Source 3 Source 4 BME HIT Crysys.hu Bencsáth Boldizsár 2004

  18. össz. forgalom forrás 1 össz. forgalom nincs támadás forrás 2 támadó 1 SERVER forrás 3 támadó 2 támadó 3 forrás 4 BME HIT Crysys.hu Bencsáth Boldizsár 2004

  19. A modell és az SMTP forgalom • rendszeres levelek • viszonylag modellezhető forgalom • valódi kiugrások • valódi DoS lehetőség • levelek mérete hasonló, nem ingadozik • feldolgozási szükséglet hasonló, kevéssé ingadozik • tartalom is analizálható lehet • nem „túl gyors” • offline analízis lehetősége BME HIT Crysys.hu Bencsáth Boldizsár 2004

  20. senderMTA MTA-scanner middleware Virus scanner MTA MDA BME HIT Crysys.hu Bencsáth Boldizsár 2004

  21. DoS front-end engine senderMTA DoS front-end client TCP wrapper MTA-scanner middleware Virus scanner MTA Bernstein’s UCSPI-TCP wrapper package MDA BME HIT Crysys.hu Bencsáth Boldizsár 2004

  22. Analysis tools DB for logging (& analysis) emulation of “real” legal traffic DoS front-end engine DoS front-end client TCP wrapper MTA-scanner middleware Virus scanner MTA (real traffic) MDA logging (successful delivery) logging flooding client (zombie) messaging server (irc) flooding client control application flooding client BME HIT Crysys.hu Bencsáth Boldizsár 2004

  23. komonensek ma: • (tcpserver) • adossmtpd (rblsmtpd) • adosd (perl statisztikai mag, unix domain socketek, statisztika 2 másodpercenként) • adosstat (állapotválotozó lekérdezés) • naplózás stb. BME HIT Crysys.hu Bencsáth Boldizsár 2004

  24. Minta naplóbejegyzések … Apr 2 09:14:38 fw ster): 80.98.214.xxx is not filtered Apr 2 09:14:43 fw ster): 80.98.214.xxx is not filtered Apr 2 09:14:44 fw ster): 213.xxx.9.44 is not filtered Apr 2 09:14:45 fw ster): 80.98.214.xxx is not filtered Apr 2 09:14:46 fw ster): unfilter statdb13513 Apr 2 09:14:46 fw ster): xxx.xxx.242.226 unfiltered Apr 2 09:14:47 fw ster): 80.98.214.xxx is not filtered Apr 2 09:14:49 fw ster): 80.98.214.xxx is not filtered Apr 2 09:14:52 fw ster): xxx.14.130.159 is not filtered Apr 2 09:14:56 fw ster): 80.98.214.xxx is not filtered Apr 2 09:15:06 fw ster): filtering 0.271714285714286 traffic shorts_no:8 Apr 2 09:15:06 fw ster): filtered 80.98.214.xxx, filtered traf: 0.2 (0.2) … Apr 2 09:17:50 fw ster): 212.24.xxx.98 is not filtered Apr 2 09:18:03 fw ster): filtered site 80.98.214.xxxFOUND Apr 2 09:18:04 fw ster): 195.xxx.242.xxx is not filtered … Apr 2 09:50:02 fw ster): 80.98.214.xxx unfiltered BME HIT Crysys.hu Bencsáth Boldizsár 2004

  25. Köszönöm a figyelmet! Bencsáth Boldizsár BME HIT Üzleti Adatbiztonság Laboratórium http://www.crysys.hu bencsath@crysys.hu BME HIT Crysys.hu Bencsáth Boldizsár 2004

More Related