Your SlideShare is downloading. ×

Dns Blackholing

2,578

Published on

ochrona sieci dostępowych przed skutkami infekcji złośliwym oprogramowaniem

ochrona sieci dostępowych przed skutkami infekcji złośliwym oprogramowaniem

Published in: Technology
1 Comment
1 Like
Statistics
Notes
No Downloads
Views
Total Views
2,578
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
22
Comments
1
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. DNS Blackholing ochrona sieci dostępowych przed skutkami infekcji złośliwym oprogramowaniem Patryk Dawidziuk IT BCE / LogicalTrust
  • 2. botnet botnet - armia komputerów zainfekowanych złośliwym oprogramowaniem (malware) najczęściej trojany w wielu wariantach, serwują spam, phishing, itp.
  • 3. botnet botnet w domu, w ogrodzie i w kosmosie ...w domu (domowy komputer zainfekowany trojanem) ...w ogrodzie (ledwo wyjdziemy do ogródka z hotspotem boty zabierają nam komputer) w komputerach nasa (bez oprogramowania AV, bo “po co tam” :-/ )
  • 4. botnet zalety posiadania botnetu spam, phishing, fraud terroryzm (“podobno macie problem z dostępem do sieci”, patrz dowcip o skinheadach którzy uratowali staruszkę) czyli DDoS, DoS i inne ataki kradzież tożsamości, danych osobowych, numerów kart kredytowych
  • 5. mechanizmy komunikacji scentralizowany boty łączą się do jednego (lub kilku) serwerów C&C p2p: fast-flux hydraflux inne, nowe, niewykryte
  • 6. metoda scentralizowana boty po uruchomieniu pytają o domenę, w celu uzyskania adresu IP do którego się mają podłączyć przeważnie dostają jeden (w wariantach zmutowanych kilka - 3 do 5, rzadko więcej) adresy IP zmieniają się często (bardzo często) domeny w zasadzie nie zmieniają się
  • 7. metoda p-2-p fast-flux - hosty skanują sieć w poszukiwaniu pośredników, którzy wiedzą więcej i łączą się do nich, jeden serwer C&C, który może być gdziekolwiek (np. na zarażonym hoście, czy na pośredniku) hydraflux - upgrade fast-fluxa, gdzie jest wiele serwerów C&C połączonych ze sobą
  • 8. części wspólne domeny nie zmieniają się (czasem jest ich kilka, ale ogólnie nie zmieniają się) adresy IP potrafią się zmieniać raz na kilka minut ale tylko w ramach tej samej domeny
  • 9. wykrywanie wroga boty najczęściej skanują sieć (lokalną i każdą inną) w poszukiwaniu kolejnych ofiar wykrycie specyficznego rodzaju skanu oznacza niechciane towarzystwo
  • 10. wnioski blokowanie adresów IP nie ma sensu blokowanie domeny ma dużo sensu aaale jak zablokować domenę?
  • 11. dns blackholing boty pytają o domenę, boty dostają adres IP, inny niż by tego sobie życzył właściciel domeny nigdzie się nie łączą i nie są groźne tak, jest to możliwe
  • 12. dns blackholing klienci dostępowi żeby się gdziekolwiek połączyć potrzebują (dostają na kartce, lub po dhcp): adres IP, domyślną bramę, maskę podsieci oraz... serwery DNS, najczęściej dwa (yes, yes, yes!)
  • 13. dns blackholing kto ma router ten ma władzę
  • 14. dns blackholing kto ma dnsa i router ten ma władzę absolutną ;-)
  • 15. dns blackholing niby dlaczego to ma działać? trojany najczęściej wolałyby zostać niewykryte zmianę dnsów jest stosunkowo prosto i szybko wykryć ... i decydowanie zbyt łatwo naprawić ... więc trojany tego nie dotykają (przeważnie)
  • 16. dns blackholing Ciemna Strona Mocy malware dobierające się do routerów sprzętowych podmieniając dnsy użytkownicy uważający, że najlepsze są dnsy NASKu (nieważne, że są 15 hopów i 200ms dalej) ale od czego są filtry i redirekty ;-) ... ignorując powyższe, działa zasada Pareto (w tym przypadku 95/5)
  • 17. dns blackholing wszystko przepięknie, ale skąd wziąć jadowite domeny do blokowania? [blok autoreklamowy] http://www.malwaredomains.org a skąd wiem, że są one jadowite i ktoś mi np. nie zablokuje onetu czy wp?
  • 18. dns blackholing można samemu sieć honeypotów na nieużywanych adresach IP ... połączona z sieciami honeypotów kolegów analizy malware dostępne na www firmy Sunbelt do obejrzenia przez uczestników (stąd wiemy, dlaczego ktoś dodał domenę) wewnętrzne zaufanie
  • 19. dns blackholing w jedności siła im więcej uczestników tym lepiej, ... ale dobra jest i mikroskala ... nawet tylko we własnym domu idealnie byłoby globalnie takie nowoczesne /etc/hosts (blokujące reklamy)
  • 20. dns blackholing skuteczność z życia wzięta przejęta sieć na 1.2k użyszkodników, około 150 do 200 osób zainfekowanych (skanujących i komunikujących się z różnymi serwerami C&C [w sumie 4 różnych botnetów], niektóre hosty były zainfekowane kilkoma botami) po włączeniu dns blackholingu (w wariancie ‘twardym’ z wymuszeniem korzystania z naszych dnsów) po dwóch dobach skanujących zostało 3, ale nie łaczyli się do żadnego serwera C&C (więc raczej wormy). w sieci zaczęły same z siebie działać telefony voip które wcześniej wykazywały zastanawiającą zbieżność ze stanem plam na Słońcu ;-)
  • 21. dns blackholing pozytywne efekty wdrożenia boty nie działają bez głowy nie ma spamu nie ma ataków ddos nic nie ma, wszystko zlikwidowane ;-)
  • 22. dns blackholing a wszystko to bez jakiejkolwiek ingerencji w komputer klienta
  • 23. dns blackholing konfiguracja
  • 24. konfiguracja binda (9) /etc/bind/named.conf – główny konfig dnsblackholing.conf – plik domeny zone quot;niedobradomena.plquot; IN { $TTL 15m type master; @ IN SOA ns1.domena.pl. admin.domena.pl. ( file „dnsblackholing.conf” 2006112402 ; serial }; 4h ; refresh 30m ; retry 14d ; expire 15m ; negative_ttl ) @ IN NS ns1.domena.pl. @ IN NS ns2.domena.pl. @ IN A 127.0.0.1 * IN A 127.0.0.1
  • 25. pytania? No questions, violators will be shot. Survivors will be shot again!
  • 26. dziękuję za uwagę patryk dawidziuk IT BCE / LogicalTrust @: p.dawidziuk@itbce.com (także jid)

×