a hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés
DESCRIPTION
A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés problémái és kapcsolatai Boldizsár BENCSÁTH BME HIT Laboratory of Cryptography and Systems Security. Tematika. E-mail vírusvédelem Linux alapon DoS problémák a védelem területén Kísérleti megoldás. - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés](https://reader036.vdocuments.site/reader036/viewer/2022062408/568133fc550346895d9af296/html5/thumbnails/1.jpg)
BME HIT Crysys.hu Bencsáth Boldizsár 2004 1
A hálózati vírusvédelem és a szolgáltatásmegtagadásos
támadások elleni védekezés problémái és kapcsolatai
Boldizsár BENCSÁTHBME HIT
Laboratory of Cryptography and Systems Security
![Page 2: A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés](https://reader036.vdocuments.site/reader036/viewer/2022062408/568133fc550346895d9af296/html5/thumbnails/2.jpg)
BME HIT Crysys.hu Bencsáth Boldizsár 2004 2
•E-mail vírusvédelem Linux alapon
•DoS problémák a védelem területén
•Kísérleti megoldás
Tematika
![Page 3: A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés](https://reader036.vdocuments.site/reader036/viewer/2022062408/568133fc550346895d9af296/html5/thumbnails/3.jpg)
BME HIT Crysys.hu Bencsáth Boldizsár 2004 3
Vírusvédelem fontossága
Trend Micro:
2003. 1. negyedév: 35 riasztás
2004. 1. negyedév: 232 riasztás
(iTnews) WORM_NETSKY.P WORM_NETSKY.D WORM_NETSKY.B WORM_NETSKY.Q WORM_NETSKY.C PE_VALLA.A WORM_MOFEI.B WORM_LOVGATE.G PE_NIMDA.E WORM_BAGLE.GEN-1
![Page 4: A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés](https://reader036.vdocuments.site/reader036/viewer/2022062408/568133fc550346895d9af296/html5/thumbnails/4.jpg)
BME HIT Crysys.hu Bencsáth Boldizsár 2004 4
Alapstruktúrák
MTA integrált vírusírtással
„alig” megkülönböztethető komponensek
Internet
![Page 5: A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés](https://reader036.vdocuments.site/reader036/viewer/2022062408/568133fc550346895d9af296/html5/thumbnails/5.jpg)
BME HIT Crysys.hu Bencsáth Boldizsár 2004 5
Alapstruktúrák
Dual MTA struktúra
két önálló kiszolgáló, az egyik a vírusvédelemért felelős, a másik a kézbesítésért
vírusszűrő MTA/MDA
![Page 6: A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés](https://reader036.vdocuments.site/reader036/viewer/2022062408/568133fc550346895d9af296/html5/thumbnails/6.jpg)
BME HIT Crysys.hu Bencsáth Boldizsár 2004 6
Alapstruktúrák
Dual MTA struktúra middleware-rel
KillVir
relaying,TLS, Auth, domainek
local MDA,kiküldés,virtual mailboxalieses
vírus, spamkeresés
![Page 7: A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés](https://reader036.vdocuments.site/reader036/viewer/2022062408/568133fc550346895d9af296/html5/thumbnails/7.jpg)
BME HIT Crysys.hu Bencsáth Boldizsár 2004 7
Alapstruktúrák
A 0.0.0.0 25 , 10025 lehet akár azonos processz is,
de lehet két teljesen önálló MTA entitás (pl. Qmail), vagy akár két különböző termék is.
KillVir
0.0.0.0 25 127.0.0.1 10025
127.0.0.1 10024
![Page 8: A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés](https://reader036.vdocuments.site/reader036/viewer/2022062408/568133fc550346895d9af296/html5/thumbnails/8.jpg)
BME HIT Crysys.hu Bencsáth Boldizsár 2004 8
Alapstruktúrák
Mail filtering logika
KillVir
1 2
3
4
5
![Page 9: A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés](https://reader036.vdocuments.site/reader036/viewer/2022062408/568133fc550346895d9af296/html5/thumbnails/9.jpg)
BME HIT Crysys.hu Bencsáth Boldizsár 2004 9
Alapstruktúrák
Queue manipuláció
KillVir
1
23
4
6
5
![Page 10: A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés](https://reader036.vdocuments.site/reader036/viewer/2022062408/568133fc550346895d9af296/html5/thumbnails/10.jpg)
BME HIT Crysys.hu Bencsáth Boldizsár 2004 10
KillVir
daemonizált mag
Víruskereső mag 1
Víruskereső mag 2
ClamAVdaemon
„file” utility
kimtömörítő 1
kimtömörítő 2
unzip
Syslog
spamassassinclient
spamassassindaemon
RBL 1,2,3Razor (daemon)
DCC
Bayes mag
header
checking
Visszajelzés
karantén
archívum(md5)
![Page 11: A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés](https://reader036.vdocuments.site/reader036/viewer/2022062408/568133fc550346895d9af296/html5/thumbnails/11.jpg)
BME HIT Crysys.hu Bencsáth Boldizsár 2004 11
Főbb kérdések a bevezetésben
•NDR (non-delivery report) sima leveleknél (honnan tudja az MTA ki jó címzett)
•percent hack, open relay védelem átgondolása
•víruskereső kiválasztása
•spam védelem lokális/globális. Bayes DB lokális/globális
•Vírus, spam NDR (vírus visszajelzés)
•karantén vagy eldobás
•tárhely, processzorkapacitás
•milyen middleware? mailscanner, amavis, amavisd-new, qmailscanner, stb.
![Page 12: A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés](https://reader036.vdocuments.site/reader036/viewer/2022062408/568133fc550346895d9af296/html5/thumbnails/12.jpg)
BME HIT Crysys.hu Bencsáth Boldizsár 2004 12
Denial of service attack (DoS)
“Magic packet” – Protocol stack hiba (ping of death)
“Network bandwidth consumption”
“Overloading protocols” (resource consumption)
-e.g. Slow SQL query on a web page or
-Kulcsgenerálás, kripto függvények
-de pl. vírusellenőrzés
![Page 13: A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés](https://reader036.vdocuments.site/reader036/viewer/2022062408/568133fc550346895d9af296/html5/thumbnails/13.jpg)
BME HIT Crysys.hu Bencsáth Boldizsár 2004 13
Megoldások
• Protocol reordering• Stateless protocols (memory load-> computation
and network load transformation)• Tracing the source ( Internet anonimity?!)• Ingress filtering, rate control (what, how, which?)• Pricing algorithms, client side puzzle
Gyakori kérdések: Paraméterek, telepítés, analízis, adaptáció
![Page 14: A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés](https://reader036.vdocuments.site/reader036/viewer/2022062408/568133fc550346895d9af296/html5/thumbnails/14.jpg)
BME HIT Crysys.hu Bencsáth Boldizsár 2004 14
DoS és a levelezés
•Sok fake NDR: kiküldött vírusra a visszajelzések „megölhetik” a hamisított feladó szerverét (és egyébként is zavarják a munkáját)
•Szerver direkt módon is lebénítható sok „sima” levéllel
•hibás levelek, továbbítók okozta hurok
•tárhely elfogyasztása (nagy levéllel)
•vírusvédelem: tárhely elfogyasztása, gép leterhelése speciális tömörített levéllel (egymásba ágyazott tömörítés, „óriási” redundáns fájl tömörítve kicsi stb.)
•hibás fejléccel rendelkező levél, stb.
![Page 15: A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés](https://reader036.vdocuments.site/reader036/viewer/2022062408/568133fc550346895d9af296/html5/thumbnails/15.jpg)
BME HIT Crysys.hu Bencsáth Boldizsár 2004 15
védekezés
•túlterhelés esetén SMTP nem elérhető (újrapróbálkozik később)
•watchdog
•max. tömörítési arány
•max. beágyazási mélység
•header ellenőrzés, tiltás
•maximális levélméret meghatározás
•sok, kicsi, legális levél?
•false NDR (FNDR)?
![Page 16: A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés](https://reader036.vdocuments.site/reader036/viewer/2022062408/568133fc550346895d9af296/html5/thumbnails/16.jpg)
BME HIT Crysys.hu Bencsáth Boldizsár 2004 16
Forgalmi okok
•Vírus
•Vírus false NDR (vírusriasztás)
•Spammer körlevele
•DHA (Directory Harvest Attack) – címgyűjtés
•Direkt, célzott DoS támadás
•Levelezési lista, hírlevél, „viral content” (adott esetben legális tartalom)
![Page 17: A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés](https://reader036.vdocuments.site/reader036/viewer/2022062408/568133fc550346895d9af296/html5/thumbnails/17.jpg)
BME HIT Crysys.hu Bencsáth Boldizsár 2004 17
0100200300400500600700800900
1000
1 2 3 4 5 6
0
4
8
12
16
20
24
1 2 3 4 5 6
Server Model0
4
8
12
16
20
24
1 2 3 4 5 6
0
4
8
12
16
20
24
1 2 3 4 5 6
0
4
8
12
16
20
24
1 2 3 4 5 6
SERVER
Source 1
Source 2
Source 3
Source 4
Aggregate Traffic
![Page 18: A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés](https://reader036.vdocuments.site/reader036/viewer/2022062408/568133fc550346895d9af296/html5/thumbnails/18.jpg)
BME HIT Crysys.hu Bencsáth Boldizsár 2004 18
0100200300400500600700800900
1000
1 2 3 4 5 6
0
4
8
12
16
20
24
1 2 3 4 5 6
0
4
8
12
16
20
24
1 2 3 4 5 6
0
4
8
12
16
20
24
1 2 3 4 5 6
SERVER
0
4
8
12
16
20
24
1 2 3 4 5 6
forrás 1
forrás 2
forrás 3
forrás 4
össz. forgalom
0100200300400500600700800900
1000
1 2 3 4 5 6
össz. forgalomnincs támadás
0
4
8
12
16
20
24
1 2 3 4 5 6
0
4
8
12
16
20
24
1 2 3 4 5 60
4
8
12
16
20
24
1 2 3 4 5 6
támadó 1
támadó 2 támadó 3
![Page 19: A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés](https://reader036.vdocuments.site/reader036/viewer/2022062408/568133fc550346895d9af296/html5/thumbnails/19.jpg)
BME HIT Crysys.hu Bencsáth Boldizsár 2004 19
A modell és az SMTP forgalom
•rendszeres levelek
•viszonylag modellezhető forgalom
•valódi kiugrások
•valódi DoS lehetőség
•levelek mérete hasonló, nem ingadozik
•feldolgozási szükséglet hasonló, kevéssé ingadozik
•tartalom is analizálható lehet
•nem „túl gyors”
•offline analízis lehetősége
![Page 20: A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés](https://reader036.vdocuments.site/reader036/viewer/2022062408/568133fc550346895d9af296/html5/thumbnails/20.jpg)
BME HIT Crysys.hu Bencsáth Boldizsár 2004 20
MTAVirus
scannerMTA-scanner middleware
MDA
senderMTA
![Page 21: A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés](https://reader036.vdocuments.site/reader036/viewer/2022062408/568133fc550346895d9af296/html5/thumbnails/21.jpg)
BME HIT Crysys.hu Bencsáth Boldizsár 2004 21
MTA
TCP wrapper Virus
scannerMTA-scanner middleware
DoS front-end client
DoS front-end
engine
MDA
senderMTA
Bernstein’sUCSPI-TCP
wrapper package
![Page 22: A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés](https://reader036.vdocuments.site/reader036/viewer/2022062408/568133fc550346895d9af296/html5/thumbnails/22.jpg)
BME HIT Crysys.hu Bencsáth Boldizsár 2004 22
MTA
TCP wrapper Virus
scannerMTA-scanner middleware
DoS front-end client
DoS front-end
engine
MDA(real traffic)
messaging server (irc)
flooding client (zombie)
flooding client
flooding clientcontrol application
logging
DB for logging(& analysis)
logging
(successful delivery)
Analysis tools
emulation of“real” legal
traffic
![Page 23: A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés](https://reader036.vdocuments.site/reader036/viewer/2022062408/568133fc550346895d9af296/html5/thumbnails/23.jpg)
BME HIT Crysys.hu Bencsáth Boldizsár 2004 23
komonensek ma:
• (tcpserver)
• adossmtpd (rblsmtpd)
• adosd (perl statisztikai mag, unix domain socketek, statisztika 2 másodpercenként)
• adosstat (állapotválotozó lekérdezés)
• naplózás stb.
![Page 24: A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés](https://reader036.vdocuments.site/reader036/viewer/2022062408/568133fc550346895d9af296/html5/thumbnails/24.jpg)
BME HIT Crysys.hu Bencsáth Boldizsár 2004 24
…Apr 2 09:14:38 fw ster): 80.98.214.xxx is not filteredApr 2 09:14:43 fw ster): 80.98.214.xxx is not filteredApr 2 09:14:44 fw ster): 213.xxx.9.44 is not filteredApr 2 09:14:45 fw ster): 80.98.214.xxx is not filteredApr 2 09:14:46 fw ster): unfilter statdb13513Apr 2 09:14:46 fw ster): xxx.xxx.242.226 unfilteredApr 2 09:14:47 fw ster): 80.98.214.xxx is not filteredApr 2 09:14:49 fw ster): 80.98.214.xxx is not filteredApr 2 09:14:52 fw ster): xxx.14.130.159 is not filteredApr 2 09:14:56 fw ster): 80.98.214.xxx is not filteredApr 2 09:15:06 fw ster): filtering 0.271714285714286 traffic shorts_no:8Apr 2 09:15:06 fw ster): filtered 80.98.214.xxx, filtered traf: 0.2 (0.2)…Apr 2 09:17:50 fw ster): 212.24.xxx.98 is not filteredApr 2 09:18:03 fw ster): filtered site 80.98.214.xxx FOUNDApr 2 09:18:04 fw ster): 195.xxx.242.xxx is not filtered…Apr 2 09:50:02 fw ster): 80.98.214.xxx unfiltered
Minta naplóbejegyzések
![Page 25: A hálózati vírusvédelem és a szolgáltatásmegtagadásos támadások elleni védekezés](https://reader036.vdocuments.site/reader036/viewer/2022062408/568133fc550346895d9af296/html5/thumbnails/25.jpg)
BME HIT Crysys.hu Bencsáth Boldizsár 2004 25
Köszönöm a figyelmet!
Bencsáth Boldizsár
BME HIT Üzleti Adatbiztonság Laboratórium
http://www.crysys.hu