DNS Blackholing
ochrona sieci dostępowych przed skutkami
infekcji złośliwym oprogramowaniem



    Patryk Dawidziuk IT BCE...
botnet
botnet - armia komputerów zainfekowanych złośliwym
oprogramowaniem (malware)
  najczęściej trojany
    w wielu wari...
botnet
botnet w domu, w ogrodzie i w kosmosie
  ...w domu (domowy komputer zainfekowany trojanem)
  ...w ogrodzie (ledwo w...
botnet
zalety posiadania botnetu
  spam, phishing, fraud
  terroryzm (“podobno macie problem z dostępem do
  sieci”, patrz...
mechanizmy komunikacji	
scentralizowany
  boty łączą się do jednego (lub kilku) serwerów C&C
p2p:
  fast-flux
  hydraflux
  ...
metoda scentralizowana
boty po uruchomieniu pytają o domenę, w celu
uzyskania adresu IP do którego się mają podłączyć
prze...
metoda p-2-p
fast-flux - hosty skanują sieć w poszukiwaniu
pośredników, którzy wiedzą więcej i łączą się do nich,
jeden ser...
części wspólne
domeny nie zmieniają się (czasem jest ich kilka, ale
ogólnie nie zmieniają się)
adresy IP potrafią się zmien...
wykrywanie wroga
boty najczęściej skanują sieć (lokalną i każdą inną) w
poszukiwaniu kolejnych ofiar
wykrycie specyficznego ...
wnioski

blokowanie adresów IP nie ma sensu
blokowanie domeny ma dużo sensu
  aaale jak zablokować domenę?
dns blackholing
boty pytają o domenę, boty dostają adres IP,
  inny niż by tego sobie życzył właściciel domeny
  nigdzie s...
dns blackholing
klienci dostępowi żeby się gdziekolwiek połączyć
potrzebują (dostają na kartce, lub po dhcp):
  adres IP, ...
dns blackholing

kto ma router ten ma władzę
dns blackholing

kto ma dnsa i router ten ma władzę absolutną ;-)
dns blackholing
niby dlaczego to ma działać?
trojany najczęściej wolałyby zostać niewykryte
  zmianę dnsów jest stosunkowo...
dns blackholing
Ciemna Strona Mocy

  malware dobierające się do routerów sprzętowych
  podmieniając dnsy

  użytkownicy u...
dns blackholing
wszystko przepięknie, ale skąd wziąć jadowite domeny
do blokowania?
  [blok autoreklamowy]
  http://www.ma...
dns blackholing
można samemu
  sieć honeypotów na nieużywanych adresach IP
  ... połączona z sieciami honeypotów kolegów
a...
dns blackholing
w jedności siła
  im więcej uczestników tym lepiej,
  ... ale dobra jest i mikroskala
  ... nawet tylko we...
dns blackholing
skuteczność z życia wzięta

   przejęta sieć na 1.2k użyszkodników,

   około 150 do 200 osób zainfekowany...
dns blackholing
pozytywne efekty wdrożenia
  boty nie działają bez głowy
  nie ma spamu
  nie ma ataków ddos
  nic nie ma,...
dns blackholing

a wszystko to bez jakiejkolwiek ingerencji w komputer
klienta
dns blackholing

konfiguracja
konfiguracja binda (9)
/etc/bind/named.conf – główny konfig                 dnsblackholing.conf – plik domeny

zone quot;ni...
pytania?

No questions, violators will be shot. Survivors
will be shot again!
dziękuję za uwagę

patryk dawidziuk IT BCE / LogicalTrust
@: p.dawidziuk@itbce.com (także jid)
Upcoming SlideShare
Loading in …5
×

Dns Blackholing

2,665
-1

Published on

ochrona sieci dostępowych przed skutkami infekcji złośliwym oprogramowaniem

Published in: Technology
1 Comment
1 Like
Statistics
Notes
No Downloads
Views
Total Views
2,665
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
22
Comments
1
Likes
1
Embeds 0
No embeds

No notes for slide

Dns Blackholing

  1. 1. DNS Blackholing ochrona sieci dostępowych przed skutkami infekcji złośliwym oprogramowaniem Patryk Dawidziuk IT BCE / LogicalTrust
  2. 2. botnet botnet - armia komputerów zainfekowanych złośliwym oprogramowaniem (malware) najczęściej trojany w wielu wariantach, serwują spam, phishing, itp.
  3. 3. botnet botnet w domu, w ogrodzie i w kosmosie ...w domu (domowy komputer zainfekowany trojanem) ...w ogrodzie (ledwo wyjdziemy do ogródka z hotspotem boty zabierają nam komputer) w komputerach nasa (bez oprogramowania AV, bo “po co tam” :-/ )
  4. 4. botnet zalety posiadania botnetu spam, phishing, fraud terroryzm (“podobno macie problem z dostępem do sieci”, patrz dowcip o skinheadach którzy uratowali staruszkę) czyli DDoS, DoS i inne ataki kradzież tożsamości, danych osobowych, numerów kart kredytowych
  5. 5. mechanizmy komunikacji scentralizowany boty łączą się do jednego (lub kilku) serwerów C&C p2p: fast-flux hydraflux inne, nowe, niewykryte
  6. 6. metoda scentralizowana boty po uruchomieniu pytają o domenę, w celu uzyskania adresu IP do którego się mają podłączyć przeważnie dostają jeden (w wariantach zmutowanych kilka - 3 do 5, rzadko więcej) adresy IP zmieniają się często (bardzo często) domeny w zasadzie nie zmieniają się
  7. 7. metoda p-2-p fast-flux - hosty skanują sieć w poszukiwaniu pośredników, którzy wiedzą więcej i łączą się do nich, jeden serwer C&C, który może być gdziekolwiek (np. na zarażonym hoście, czy na pośredniku) hydraflux - upgrade fast-fluxa, gdzie jest wiele serwerów C&C połączonych ze sobą
  8. 8. części wspólne domeny nie zmieniają się (czasem jest ich kilka, ale ogólnie nie zmieniają się) adresy IP potrafią się zmieniać raz na kilka minut ale tylko w ramach tej samej domeny
  9. 9. wykrywanie wroga boty najczęściej skanują sieć (lokalną i każdą inną) w poszukiwaniu kolejnych ofiar wykrycie specyficznego rodzaju skanu oznacza niechciane towarzystwo
  10. 10. wnioski blokowanie adresów IP nie ma sensu blokowanie domeny ma dużo sensu aaale jak zablokować domenę?
  11. 11. dns blackholing boty pytają o domenę, boty dostają adres IP, inny niż by tego sobie życzył właściciel domeny nigdzie się nie łączą i nie są groźne tak, jest to możliwe
  12. 12. dns blackholing klienci dostępowi żeby się gdziekolwiek połączyć potrzebują (dostają na kartce, lub po dhcp): adres IP, domyślną bramę, maskę podsieci oraz... serwery DNS, najczęściej dwa (yes, yes, yes!)
  13. 13. dns blackholing kto ma router ten ma władzę
  14. 14. dns blackholing kto ma dnsa i router ten ma władzę absolutną ;-)
  15. 15. dns blackholing niby dlaczego to ma działać? trojany najczęściej wolałyby zostać niewykryte zmianę dnsów jest stosunkowo prosto i szybko wykryć ... i decydowanie zbyt łatwo naprawić ... więc trojany tego nie dotykają (przeważnie)
  16. 16. dns blackholing Ciemna Strona Mocy malware dobierające się do routerów sprzętowych podmieniając dnsy użytkownicy uważający, że najlepsze są dnsy NASKu (nieważne, że są 15 hopów i 200ms dalej) ale od czego są filtry i redirekty ;-) ... ignorując powyższe, działa zasada Pareto (w tym przypadku 95/5)
  17. 17. dns blackholing wszystko przepięknie, ale skąd wziąć jadowite domeny do blokowania? [blok autoreklamowy] http://www.malwaredomains.org a skąd wiem, że są one jadowite i ktoś mi np. nie zablokuje onetu czy wp?
  18. 18. dns blackholing można samemu sieć honeypotów na nieużywanych adresach IP ... połączona z sieciami honeypotów kolegów analizy malware dostępne na www firmy Sunbelt do obejrzenia przez uczestników (stąd wiemy, dlaczego ktoś dodał domenę) wewnętrzne zaufanie
  19. 19. dns blackholing w jedności siła im więcej uczestników tym lepiej, ... ale dobra jest i mikroskala ... nawet tylko we własnym domu idealnie byłoby globalnie takie nowoczesne /etc/hosts (blokujące reklamy)
  20. 20. dns blackholing skuteczność z życia wzięta przejęta sieć na 1.2k użyszkodników, około 150 do 200 osób zainfekowanych (skanujących i komunikujących się z różnymi serwerami C&C [w sumie 4 różnych botnetów], niektóre hosty były zainfekowane kilkoma botami) po włączeniu dns blackholingu (w wariancie ‘twardym’ z wymuszeniem korzystania z naszych dnsów) po dwóch dobach skanujących zostało 3, ale nie łaczyli się do żadnego serwera C&C (więc raczej wormy). w sieci zaczęły same z siebie działać telefony voip które wcześniej wykazywały zastanawiającą zbieżność ze stanem plam na Słońcu ;-)
  21. 21. dns blackholing pozytywne efekty wdrożenia boty nie działają bez głowy nie ma spamu nie ma ataków ddos nic nie ma, wszystko zlikwidowane ;-)
  22. 22. dns blackholing a wszystko to bez jakiejkolwiek ingerencji w komputer klienta
  23. 23. dns blackholing konfiguracja
  24. 24. konfiguracja binda (9) /etc/bind/named.conf – główny konfig dnsblackholing.conf – plik domeny zone quot;niedobradomena.plquot; IN { $TTL 15m type master; @ IN SOA ns1.domena.pl. admin.domena.pl. ( file „dnsblackholing.conf” 2006112402 ; serial }; 4h ; refresh 30m ; retry 14d ; expire 15m ; negative_ttl ) @ IN NS ns1.domena.pl. @ IN NS ns2.domena.pl. @ IN A 127.0.0.1 * IN A 127.0.0.1
  25. 25. pytania? No questions, violators will be shot. Survivors will be shot again!
  26. 26. dziękuję za uwagę patryk dawidziuk IT BCE / LogicalTrust @: p.dawidziuk@itbce.com (także jid)
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×